11月4日，由奇安盘古（盘古实验室）和韩国POC主办的2022 MOSEC移动安全技术峰会在上海隆重举行。

作为国内极负盛名的移动安全盛会，本次大会吸引到了数百名来自移动安全领域的顶级白帽黑客以及行业专家，围绕iOS、Android、车载娱乐系统以及SoC芯片等移动端软硬件的漏洞挖掘、漏洞利用以及安全防护等话题，为业界奉献了一场饕餮盛宴。

奇安信集团总裁吴云坤在致辞中表示，MOSEC从2015创立以来，一直坚持聚焦移动安全、专注于前沿技术，吸引聚集二进制漏洞攻防领域的顶级专家还有他们的顶级成果和智慧，为移动安全领域的技术发展做出了贡献。

“三人行必有我师。”POCSEC CEO JinWook在致辞中说，作为国内及负盛名的移动安全盛会，MOSEC举办八年来，吸引了大量优秀的安全从业人员发表了许多优秀的成果，希望所有参会者都能从中有所收获。

模糊测试框架——探测无处不在的攻击面

作为苹果手机无线网络的重要模块之一，Apple 80211 Wi-Fi子系统的攻击面分布在操作系统的各个角落——从用户态守护进程到操作系统网络协议栈，再到各类内核扩展程序，这使得攻击者能够从四面八方对其发动攻击。“能否将模糊测试系统整合起来并协同工作极为重要，而这促使我设计了一套全新的模糊测试框架。”杭州薮猫科技联合创始人、CEO王宇说，搭建远程内核调试环境能帮助快速的定位和分析漏洞成因。这套框架可以帮助研究员系统的对攻击面进行安全测试，从而发现其中的漏洞等安全风险。

值得注意的是，作为这套框架的重要成果，王宇现场分享了他挖掘的超过十个零日漏洞，充分展示了这套框架的实际应用价值。

白帽子的终极梦想——漏洞的批量挖掘

“漏洞研究者的一个终极梦想是，输入目标手机的型号版本，就可以自动挖掘获取它的0day漏洞。”獬豸安全实验室负责人、高级总监Flanker将所有白帽子的终极梦想一语道破。为了实现这个目标，Flanker分享了他的研究成果Java程序分析引擎，包括指针分析、跨过程污点分析等多个模块。使用该系统，Flanker挖掘到了数十个主流厂商系统中的高危漏洞。“虽然目前还存在着这样那样的限制，但技术的进步仍然能让我们不断逼近我们的终极梦想。”Flanker说到。

安全进阶——内核奥秘的探究

作为iOS操作系统的内核，XNU历来都受到开发人员和安全研究员的关注。而Mach IPC作为XNU中Mach子系统最核心的模块之一，iOS上进程间以及进程与内核间绝大多数通信都经由Mach IPC完成。

“在对Mach IPC研究的过程中，我们发现了一些漏洞。”昆仑实验室安全研究员Brightiup介绍说，锁是XNU对象管理中很重要的一点，时机和位置不对都容易引入安全问题，及时关注新增加的代码对研究者也十分重要。Brightiup表示，在去年MOSEC期间发表的port类型混淆漏洞的基础上进一步研究，又发现了多个通过条件竞争触发的类型混淆漏洞。随后，Brightiup通过引入更多的相关对象和功能（turnstile,knote,workloop等），逐步增加了审计的范围后，又发现了不少UAF类的漏洞，包括在最新的iOS 16.1中被修复的一个漏洞。

来自奇点实验室的两位安全研究员刘深荣、刘鹏举则将目光放在了微内核上。与Linux、Unix等传统宏内核不同的是，微内核尽可能简化了自身的功能，主要负责不同模块之间请求的传递。

刘深荣、刘鹏举详细介绍了一款嵌入式的微内核操作系统几大特性，包括基于NameSpace实现的组件隔离机制，用户态文件系统，微内核中的虚拟内存管理实现，以及应用沙箱的设计。

当然作为安全研究员，刘深荣、刘鹏举更关心的还是安全性。据介绍，为了更方便的对其内核进行模糊测试，刘深荣、刘鹏举选取了Syzkaller引擎对其进行了适配，通过对其增加了覆盖率反馈相关的实现以及Syscall支持，可以使其较好的支持Syzkaller进行模糊测试，并发现多个内核安全漏洞，并且讲解了漏洞的利用技巧。

芯片级漏洞——亿万手机的达摩克利斯之剑

作为全球最大的无晶圆厂半导体供应商之一，联发科在移动终端、智能家居应用、无线连接技术及物联网产品等市场位居领先地位，同时是目前全球智能手机芯片市场占有率最高的厂商，旗下MTK芯片被亿万手机和IoT设备使用。

盘古实验室安全研究员张雪雯的议题便与MTK芯片相关。据她介绍，在芯片固件里，安全启动信任链是保证设备安全性至关重要的一个环节，一旦安全启动被攻破，后续的安全防护都将失去意义。

值得注意的是，如果漏洞位于BootRom（写死在芯片）中，鉴于该区域的只读属性，这就意味着它不像软件漏洞一样可以能通过软件更新手段进行修复，进而永久存在于芯片中，可以说是悬在亿万手机和物联网设备头上的达摩克利斯之剑。2019年9月末，苹果手机A系列芯片中被曝出存在BootRom的漏洞。

张雪雯通过若干漏洞实例，详解了BootRom漏洞成因、利用方式以及如何通过攻击BootRom来击溃 MTK 的安全启动链，从而达到控制整个手机操作系统的目的。

车载娱乐——黑客也狂欢

除了手机以外，各类物联网设备也颇受极客们的青睐，电动汽车便是其中之一。近些年，电动车已然成为全球最具发展潜力的行业之一，并且受到互联网造车概念的影响，大批新兴的电动车制造商纷纷入市，与传统车企展开了同台竞技。

其中作为车企之间竞争的焦点之一，车载娱乐系统已经成为提升消费者驾车体验的重要环节，几乎每个厂家都争先恐后地为自己旗下电车配备自动驾驶、OTA、语音助手、导航、在线音乐电影等功能。

与此同时，车载娱乐系统的安全性却参差不齐。今年上半年，大众和奥迪几款车型的车载信息娱乐系统被曝存在多个漏洞，攻击者可以通过车载娱乐系统打开或关闭麦克风，监听司机正在进行的谈话、访问车主个人隐私信息以及车辆定位信息等。

据盘古实验室的安全研究员闻观行介绍，2021年入手的第一辆电动汽车，激发了他对于车载娱乐系统的兴趣。在近一年的时间里，闻观行找到了一条完整的漏洞利用链条来取得车载娱乐系统的完全控制权限。此外，闻观行还分享了获取权限后可以做到的一些功能演示，包括如何控制门窗、开启调试、跟子系统通信等。

同时,作为历届MOSEC的重头戏，BaiJiuCon每年都吸引到众多嘉宾的积极参与。安全就酒，越喝越有，与会嘉宾只要喝一杯白酒，就有机会获得一定时间的演讲机会。

在 MOSEC 移动安全技术峰会现场，FreeBuf 受邀采访盘古实验室负责人韩争光。采访中，韩总就信创产业发展和联发科芯片漏洞风险进行了分享。

近几年，国内信创产业发展迅速，颇受重视，头部企业纷纷布局。韩总在谈到新创产业时，表示西方在信息技术领域的极限制裁和美国近期出台的芯片法案都是对国内相关技术领域的打压，西方这些举措会更加坚定国家推进信息技术自主创新的决心，加大信创推进的力度。

采访中，韩总不止一次强调，信创不是一个可以简单替代，一蹴而就的产业，是产业升级，更是信息化重构的一次机会，可以将更多必要的安全措施内生在信息化环境的重构中。不过这个过程不是自然发生的，要求供应商必须从信息化视角看待安全，而不是从安全视角看待信息化。

盘古实验室在这方面有一些先天优势，比如信创漏洞挖掘技术有先天优势，韩总明确表示会随着信创的发展持续加大投入。

当前，公众对底层漏洞的危害程度及影响范围认知相对有限，随着采访进行，笔者问及“盘古实验室关于联发科芯片的研究成果”，韩总称芯片供应链底层的安全隐患不仅十分隐蔽，而且影响极大。例如此次披露的芯片漏洞涉及到市面上几乎所有的联发科产品，数以十亿计的设备均受影响。

此外，由于部分缺陷代码被固化至硬件中，厂商无法通过更新补丁修复漏洞，只能在软件层引入缓解措施或是发布新的硬件，因此芯片漏洞影响范围十分广泛。

最后，韩总表示，底层漏洞的利用需要物理接触设备，还需要特殊的硬件辅助，漏洞利用的难度也比较大，另外，芯片厂商也会通过各种系统上的缓解措施，可以有效的降低漏洞利用带来的危害，所以普通用户也不用过分担心。