“漏洞本身并不会造成危害，但可在黑客的不同命令下，变形成不同形态的漏洞，对系统带来极大的安全风险”；“PAC作为苹果近些年来引入的一种安全防护机制，大幅度提升了系统安全性，但我们仍然发现了一种方法，10秒钟就可以获取系统控制权限。”在2021MOSEC移动安全技术峰会现场，盘古实验室联合创始人王铁磊和赛博昆仑资深研究员招啟汛，分别介绍了他们关于iOS系统的安全研究成果。

7月30日,由知名移动安全团队盘古实验室和韩国POC主办的2021MOSEC移动安全技术峰会在上海隆重举行。作为国内极负盛名的移动安全盛会，本次大会吸引到了数百名来自移动安全领域的顶级白帽黑客以及行业专家，围绕iOS、Android等主流移动操作系统的漏洞挖掘、漏洞利用以及安全防护等话题，为业界奉献了一场饕餮盛宴。

漏洞圈的“变形金刚”

作为苹果Mac OS X 和 iOS操作系统的内核，XNU历来都受到开发人员和安全研究员的关注。port则是系统内部一个非常基础的组件，用于支撑操作系统各个组件之间的通信。

就在去年iOS14发布不久之后，谷歌安全团队（Google project zero）披露了第一个针对iOS内核的0day（漏洞编号CVE-2020-27932）在野利用行为，该漏洞利用了iOS内核的类型混淆问题，获取特权从而执行攻击代码。但针对这次在野利用行为，谷歌并没有发布详细的报告。

据外媒报道显示，从2020年2月开始的8个月内，某黑客组织利用水坑攻击感染了大量设备，并利用了一系列漏洞（包括该漏洞在内）攻击大量用户。随后，苹果发布了针对该内核漏洞发布了相关补丁。但在补丁发布之后不久，盘古实验室又发现了另外了一个类似成因的漏洞，该漏洞位于XNU内部port组件内。

“有意思的是，这个漏洞本身并不会造成危害。”王铁磊在演讲时表示，“但这个漏洞在不同的利用思路下，能够进一步触发其他内核内存错误漏洞，包括释放后使用（UAF）、溢出（overflow）和越界访问（out-of-bounds access），造成任意代码执行等危害，可谓是漏洞圈里的‘变形金刚’。”

10秒攻破苹果A12芯片最新防护机制

在招啟汛的议题中，他详细介绍了PAC的原理和机制，并且展示了如何利用远程代码执行漏洞绕过PAC保护机制,获取应用程序进程的任意代码执行权限。

随着iPhone XS及其新款A12 Bionic芯片的推出，苹果也在加紧用ARMv8.3替代其他框架，并且随着这种架构的使用，一种新的安全防护机制指针验证码（PAC）也出现了，这使得iPhone的入侵难度大幅度增加。

据招啟汛介绍，PAC是苹果自A12芯片之后引入iPhone的一个硬件级验证机制。它的引入大大加强了iPhone的安全性,至少在18年iPhone XS系列机型引入PAC后,iPhone再无在公开比赛中被攻破。这个记录一直保持到2020年，在去年的天府杯期间，招啟汛所在的团队仅用时10秒，便首次攻破了带有PAC机制的苹果手机（iPhone 11Pro），获取了通讯录等用户信息。

无接触攻破智能手机中的5G基带

“2020年9月11日，我们披露了实验室在5G安全方面最新的研究成果：通过对5G基带模块漏洞的利用，远程改变了一台5G手机的IMEI串号信息。”来自腾讯科恩实验室的研究员陈星宇和Marco Grassi在议题分享时自豪地说。

值得注意的是，科恩实验室是全球范围内第一个公开达成5G漏洞利用的团队。

作为一个晦涩难懂、少经开拓的领域，蜂窝网络和基带安全直到近几年才出现了一些公开的安全研究。不过近几年，在中国大力发展 5G 通信的背景下，5G基带的安全受到了非常广泛的关注。

众所周知，5G基带芯片作为手机中的通信模块，最主要的功能就是负责与移动通信网络的基站进行交流。陈星宇表示，攻击者可基于伪基站劫持智能手机5G通信，并利用5G基带的通信协议漏洞，在手机上实现任意代码执行，达到数据窃取、电话拦截或者监听设备语音等目的。并且，整个利用过程非常隐秘，用户完全察觉不到攻击的发生。同时，陈星宇还重点从防御角度介绍了如何增强5G基带的自身的安全性。

除iOS相关议题之外，安全研究人员还带来了Android等其他方向的精彩议题。

据悉，MOSEC移动安全技术峰会自2015年在国内首次举办以来,立足于高质量的安全技术,覆盖iOS、Android、Windows三大移动平台,致力于分享移动安全领域前沿性的技术议题及发展趋势。因高质量的安全技术分享,每年大会都赢得与会者及业内一致好评,目前已经成长为国内安全技术峰会的重要风向标,吸引全球最顶尖的网络安全专家和白帽子黑客前来参会。