小到入侵苹果手表、大到入侵飞机,MOSEC大会干货议题全记录

2017-06-24 476431人围观 ,发现 2 个不明物体 活动

vbox4183__DCM3310_065920_small.JPG

可能每年的MOSEC大会上,普罗大众翘首以盼的是盘古放出新的iOS越狱工具。在前不久的Janus发布会上,盘古就曾预告过iOS 10.3.1的越狱。这次由盘古主办的MOSEC大会上,来自腾讯的科恩实验室也在”One More Thing”中演示了新版iOS的越狱,甚至还有公布没几天的iOS 11开发者beta 2版的越狱。

当然,这不过是本届MOSEC大会的其中一个小花絮,如果你也关注盘古一年一度的此次盛会,就往下仔细看看这场大会的干货吧——原本MOSEC也就是以干货著称的。

今年的那些干货议题

这些天的上海已经变得非常闷热,而且雨量丰沛,据说从全国各地赶来的与会者事先还在担忧航班是否会被取消,也包括那些从国外来的演讲嘉宾。昨天的这场MOSEC大会就在上海凯宾斯基大酒店举行,这是盘古团队与韩国PoC大会组织的第三届MOSEC大会。

从第一届MOSEC开始,主办方便源源不断地邀请移动安全领域的大牛发表演讲,这些议题都来自他们的最新研究成果。因此关注移动安全的爱好者们自然不会错过这样一场盛会。这次的议题中有对产品、行业现存机制的反思,如Android应用签名的枷锁与革新、iOS系统溢出缓解机制,还有对大大小小新鲜事物的探索,小到入侵苹果手表、大到入侵飞机,这些精彩的议题让在座的500多人都听得入了神,整个会场座无虚席。

DSC_6062.JPG

议题1:Android应用签名的枷锁与革新

20170623_100641.jpg

首个议题的演讲者是来自百度安全实验室韦韬和张煜龙,他们为我们带来的是一种Android应用签名的一种更完善的机制。众所周知,应用签名是Android生态的基石,而在现有的机制下,Android应用签名私钥“不可遗失”,并且要迁移使用新的密钥,难度非常大,但有时候遇到私钥泄露、证书过期甚至以前标准中存在的弱摘要算法时,我们不得不更换证书。

因此,研究员基于IDSIG提出一种简单有效的解决方案。这种机制能够支持既有的Android验签机制,并且支持证书更换和升级,私钥泄露、证书过期等一系列问题得到缓解。更重要的是,不同于苹果App Store,这种机制不会产生新的中心依赖,不会产生生态独裁,而是采用了“生态联防”的机制。

议题2:现代iOS系统溢出缓解机制

DSC_6057.JPG

第二个议题来自Luca Todesco。Luca(@qwertyoruiopz)是一位来自意大利年仅20岁的安全研究人员,他在今年发布的针对iOS 10.2的越狱Yalu中完全绕过了KPP防护。在今天的演讲中,他对iOS系统溢出环节机制的发展历史进行了回顾,介绍了几个机制,比如WatchTower和iPhone7中引入的AMCC (iPhone 7的硬件保护),他逐一讲解了这些机制的有效性。演讲中,他还介绍了未来将会引入的溢出缓解机制,例如控制流完整性(CFI)及其可能存在的问题。

在今天的整场会议中,Luca是最重量级的嘉宾之一,不少演讲嘉宾们都致谢了Luca的研究,这对一个年仅20岁的少年来说显然相当了不起。

议题3:天空之城-飞控安全攻防剖析

DSC_6066.JPG

关于飞机安全的议题可能是第一次在MOSEC中出现,但这次的演讲嘉宾相信大家都不陌生,她就是来自360UnicornTeam的张婉桥。

“飞机能不能像电玩一样被自由控制?”从演讲得出的结论来看是可能的。攻击的方法可以分为网络攻击和无线电攻击,前者的难度较大,通过这种方法控制飞机的可能性十分渺茫,而无线电通信中存在的漏洞更多,飞机中所使用的各种无线电通信都可能产生安全问题,比如ADS-B攻击、TCAS攻击、GPS攻击、ILS攻击、通话注入攻击等,但这取决于飞行员是否能够察觉到攻击。但是如果采用多种攻击手段相结合,则很有可能造成灾难性后果。

此外,研究员针对目前“黑飞”多次干扰正常民航飞机事件,详细分析了市场上无人机通信链路的特征,揭示无人机信号的指纹特点,提出了一套有效的无人机管控与打击“黑飞”策略。

议题4:Pwning苹果手表

DSC_6071.JPG

Max Bazaliy目前是Lookout公司的安全研究员,他在移动安全、协议分析、漏洞利用等方向上有超过10年的从业经验。去年他主导了对Pegasus APT攻击的样本分析,这是首个针对iOS平台的APT攻击。这次峰会他带来的演讲详细介绍了针对苹果手表的攻击,介绍watchOS的安全机制。

苹果手表使用的是修改版的32位iOS操作系统watchOS。其中包含一些重要的安全机制,例如代码签名、沙盒、内存保护等。尽管其中的过程一波三折,但Max还是一步步地从内核代码读取到沙盒绕过,内核随机化地址绕过,内核任意代码执行,最终在手表上开启SSH服务。

议题5:伤痕累累的Android Wi-Fi驱动 – 从本地提权到远程攻击

DSC01772.JPG

Android Wi-Fi驱动中曾经被发现大量root提权漏洞。 但这些漏洞都是存在于WEXT(Wireless-Extensions)接口中的,WEXT是一种即将被淘汰的Wi-Fi配置接口。取而代之的是基于nl80211协议的cfg80211接口。

来自360 Alpha Team的陈豪介绍的是他们的团队是如何在cfg80211驱动中发现大量提权漏洞的。其实大部分问题出现在NL80211_CMD_VENDOR这个厂商可以自定义的特殊命令中。其中往往其中包含一些漏洞,风险很大。另外,本议题还介绍了Wi-Fi驱动中存在的远程攻击入口,介绍如何利用Wi-Fi芯片中的漏洞实现内核级别的远程代码执行。 研究人员所举的例子是博通芯片中的漏洞。博通芯片中通道直接链路建立的代码中memcpy变量处理不当就会导致内存溢出。

议题6:幻象之盒

DSC_6084.JPG

随着智能家居的兴起,各种IoT设备成为了黑客的新目标,这些攻击的独特性之一在于,入侵相关设备之后,攻击便有机会攻击内网中的各种其他设备,危害程度可见一斑。很多大公司已经在开发针对IoT设备的安全解决方案。众多解决方案中,一个主流形式是开发一个专门设备,接入其他IoT设备的网络进而对IoT设备进行保护。

来自Embedi的研究员Peter Kamensky则向我们展示了IoT防护方案的局限性。他所进行测试的是一台BitDefender Box。这台设备会对所有接入设备的网络请求进行过滤保证安全性。然而现实情况是,黑客可以使用各种各样的方法绕过其检验机制,比如在已经获取到root权限的设备上关闭DHCP等。对黑客而言,这样的专门设备无疑只是扩大了攻击面,对用户而言其实也只是营造了受保护的“幻象”。

议题7:iOS 10内核安全漫谈

DSC_6086.JPG

iOS 10在内核安全方面较之前的版本有了很大程度的改进。之前存在已久的一大批漏洞在iOS 10发行时被悄悄修复、对一些关键机制的更合理处理、加上漏洞利用缓解上改进,可以看出苹果在iOS 10安全性加强上的努力。不仅如此,这些被强化的安全特性在之后的10.1-10.3.x的版本演化中得以巩固和加强。

最后一位演讲嘉宾,来自腾讯科恩实验室的陈良分享了科恩实验室在过去一年中对iOS内核安全的研究发现,从漏洞、机制、利用缓解三个方面漫谈iOS内核安全。

彩蛋

往年一样,今年的MOSEC峰会也埋了一个重量级彩蛋,在陈良演讲的结尾,他向我们展示了科恩实验室研制的针对新版iOS平台的越狱工具。演示视频中的三款设备分别是:

iPhone 6 (iOS 10.3.2)

iPhone 7 (iOS 11 developer beta 2)

iPhone 7 (iOS 10.3.2)

20170623_171047.jpg

目前为止,这三个操作系统还没有公开的越狱工具,尤其是iOS 11 developer beta 2是苹果两天前发布的。演示结束后,全场响起了热烈的掌声。只可惜我们不知后续是否会放出越狱工具。

更多花絮

vbox4183__DCM3469_100110_small_v1.JPG

入口处的雾幕投影

vbox4183__DCM3527_111214_small.JPG

外国参会者的交谈

DSC01702.JPG

来自美国的安全厂商Beyond Security

vbox5087_7E8A9454_110949_small.JPG

茶歇时刻

vbox4183__DCM3496_103217_small.JPG

由于本次参会人员中有不少外国嘉宾,现场提供了中翻英和英翻中的两种同声传译

以干货造福行业

鉴于篇幅关系,我们也没法将议题的全部内容都完整展现,实际上其中的绝大部分议题都有可展开细说的余地——而且今年准备的中文同声传译,在翻译质量方面已经相较去年出色了很多,即便要全程领略议题精髓还是得如小编这般有如神助的听力。

据说MOSEC的绝大部分议题是以往从未在公开场合出现过的,好在现场我们还是邀请到了《iOS 10内核安全漫谈》议题的陈良和《Pwning苹果手表》议题的Max Bazaliy进行了专访。所以不久之后,无论是对iOS还是对苹果手表的内容,我们都还会有更多的展示空间。

前不久我们在刚刚发布的《2017年度移动App安全漏洞与数据泄露现状报告》中从第三方移动App的角度细数了移动安全面临的大量问题。在移动行业市场规模极速增长的当下,MOSEC以技术干货的方式为移动领域敲响了警钟,这是在满足技术宅们干货渴求的同时,对行业的推动。

* FreeBuf官方报道,作者:Sphinx,未经许可禁止转载

这些评论亮了

  • knowsec 回复
    从内容上看,数字公司只会扯淡打飞机,还是得好好学学鹅厂
    )14( 亮了
发表评论

已有 2 条评论

取消
Loading...
css.php