致力于分享移動(dòng)安全領(lǐng)域前沿性的技術(shù)議題及發(fā)展趨勢(shì)，覆蓋iOS、Android、Windows三大移動(dòng)平臺(tái)的MOSEC 移動(dòng)安全技術(shù)峰會(huì)要來了。

MOSEC移動(dòng)安全技術(shù)峰會(huì)始辦于2015年，由盤古團(tuán)隊(duì)和POC主辦，至今已成功舉辦三屆。第四屆 MOSEC 移動(dòng)安全技術(shù)峰會(huì)將于2018年6月22日（周五）在上海萬達(dá)瑞華酒店舉行。來自全球的優(yōu)秀互聯(lián)網(wǎng)安全專家以及眾多神秘重量級(jí)演講嘉賓將再次聚首上海，向世界分享最新安全研究成果。

日程安排

議題介紹

構(gòu)造你自己的iOS內(nèi)核調(diào)試器

演講嘉賓：Ian Beer

Ian Beer在Google的Project Zero團(tuán)隊(duì)從事漏洞挖掘與利用的相關(guān)研究。

議題概要

Ian Beer會(huì)在這次議題中介紹如何針對(duì)零售版的iOS設(shè)備開發(fā)一個(gè)內(nèi)核調(diào)試器。議題的內(nèi)容會(huì)涵蓋ARM64底層在XNU中的異常處理，KDP遠(yuǎn)程調(diào)試的協(xié)議以及如何在不修改內(nèi)核代碼的前提下打造一個(gè)支持設(shè)置斷點(diǎn)的本地內(nèi)核調(diào)試器。

Shannon之旅 - Pwn2Own基帶漏洞利用

演講嘉賓：Amat Cama 

Amat是在塞內(nèi)加爾的一名獨(dú)立安全研究員。他曾經(jīng)在UCSB、高通、長亭科技從事安全研究工作。2016年他在Geekpwn上海演示了針對(duì)CSGO和DOTA2的游戲引擎的遠(yuǎn)程攻擊，并進(jìn)入名人堂。2017年他在Mobile Pwn2Own東京的比賽中成功演示針對(duì)三星S8手機(jī)的基帶攻擊。他也是一名CTF愛好者。

議題概要

在過去10年中移動(dòng)設(shè)備變得越來越復(fù)雜。如今的手機(jī)中有許多嵌入式芯片用來處理Wifi，藍(lán)牙以及蜂窩通信。這些芯片都運(yùn)行了對(duì)應(yīng)的固件，而這些固件往往沒有經(jīng)過嚴(yán)格的安全測試，容易受到攻擊。本議題會(huì)主要介紹三星的Shannon基帶以及我如何成功在Mobile Pwn2Own 2017中攻破該基帶。
首先，我們會(huì)從安全研究的角度出發(fā)介紹一下蜂窩技術(shù)（GSM，3G，4G）。隨后我們會(huì)深入分析Shannon基帶并展示如何發(fā)現(xiàn)有漏洞的代碼。最后我們討論如何利用其中的一個(gè)漏洞。

粉碎棧：LTE智能手機(jī)的安全性

演講嘉賓： Arthur Garipov&Chaouki Kasmi

Arthur Garipov和Chaouki Kasmi是移動(dòng)和電信實(shí)驗(yàn)室的安全研究員，DarkMatter LLC。

Arthur在3年的SCADA / ICS相關(guān)工作經(jīng)驗(yàn)后，在Positive Technologies的2年時(shí)間主要研究DPI和電信領(lǐng)域。他在無線安全和嵌入式設(shè)備方面的工作成果已在多個(gè)會(huì)議上發(fā)表。

 

Chaouki在法國網(wǎng)絡(luò)和信息安全局的無線安全實(shí)驗(yàn)室工作了8年，擔(dān)任電磁和無線安全研究員。在過去的8年中，他在國內(nèi)和國際會(huì)議上發(fā)表了70多篇論文，并獲得多個(gè)獎(jiǎng)項(xiàng)。他是2016年以來HPEM生活高功率電磁社區(qū)的成員 - Summa基金會(huì)。

議題概要

出于對(duì)移動(dòng)通信安全的考慮，電信網(wǎng)絡(luò)和架構(gòu)也在不斷改進(jìn)。目前5G技術(shù)仍處于標(biāo)準(zhǔn)化階段， 3G協(xié)議已經(jīng)解決了2G協(xié)議中的認(rèn)證和機(jī)密性問題，而3GPP第8版中定義的4G和LTE標(biāo)準(zhǔn)增加了新的安全機(jī)制，這也是移動(dòng)網(wǎng)絡(luò)的最新一次安全升級(jí)。然而，由于設(shè)備仍然暴露于IMSI捕獲器和相關(guān)攻擊以及對(duì)2G網(wǎng)絡(luò)的向下兼容性，因此安全和隱私問題在移動(dòng)網(wǎng)絡(luò)中依然存在。許多研究致力于分析2G，3G和4G網(wǎng)絡(luò)的安全性，這要?dú)w功于活躍的開源社區(qū)。從針對(duì)GSM的OpenBTS [1]項(xiàng)目到4G協(xié)議的eNodeB和核心網(wǎng)絡(luò)組件，在智能手機(jī)基帶或網(wǎng)絡(luò)組件（例如蜂窩網(wǎng)絡(luò)）中實(shí)現(xiàn)的協(xié)議棧中發(fā)現(xiàn)了多個(gè)漏洞。有趣的是，一個(gè)完全用Python實(shí)現(xiàn)的開源解決方案，即Pycrate [2]，已經(jīng)證明對(duì)于檢測基帶中的漏洞非常有效[3]。測試移動(dòng)設(shè)備的設(shè)置是Pycrate與eNodeB的開源實(shí)現(xiàn)或商業(yè)實(shí)現(xiàn)（Amarisoft [4]）的結(jié)合。有趣的漏洞已經(jīng)被發(fā)現(xiàn)。

在移動(dòng)和電信實(shí)驗(yàn)室研究活動(dòng)的框架內(nèi)，已決定建立一個(gè)專用測試平臺(tái)來測試各制造商的基帶。該測試平臺(tái)由OpenAirInterface [5] / OpenLTE [6]與Pycrate以及特定插件組合而成。該插件的開發(fā)目的是為了能夠通過核心網(wǎng)絡(luò)制作并發(fā)送特定的消息，這些消息將由eNodeB提供給目標(biāo)設(shè)備。一些已知漏洞已能被該測試平臺(tái)重現(xiàn)。其中一個(gè)例子是DEFCON 2016期間提出的LTE DoS /重定向[7]。在演講中，我們將演示如何配置Pycrate并將其與開源eNodeB連接。并將描述插件的設(shè)計(jì)和實(shí)現(xiàn)。最后，我們就討論植入的消息以及測試過程發(fā)現(xiàn)的漏洞。并將更多結(jié)果展示給觀眾。

手機(jī)瀏覽器中的遠(yuǎn)程代碼執(zhí)行 - Mobile Pwn2Own實(shí)例分享

演講嘉賓： 郝力男&劉龍&招啟汛

郝力男(@holynop)在Qihoo 360 Vulcan Team從事漏洞相關(guān)研究。隨團(tuán)隊(duì)參加pwn2own 2015/2016/2017/pwnfest 2016/mobile pwn2own 2017，參與過一些微軟的賞金計(jì)劃Microsoft Mitigation Bypass Bounty, Microsoft Edge Bounty, MSRC Top 100 2015/2016/2017等，曾在一些安全會(huì)議上發(fā)表文章如Blackhat/44CON/HITB等。

劉龍是360Vulcan團(tuán)隊(duì)的安全研究員，從事漏洞挖掘和利用方面的工作。他參加了Pwn2Own 2017和Mobile Pwn2Own 2017，并成功挑戰(zhàn)了相關(guān)項(xiàng)目。他連續(xù)三年入選MSRC Top 20名單。

招啟汛是奇虎360 Vulcan Team的成員，微博ID是@老實(shí)敦厚的大寶。專注于各個(gè)主流瀏覽器安全和macOS/iOS系統(tǒng)安全,沙箱逃逸。曾參加Pwn2Own 2017和Mobile Pwn2Own 2017攻破瀏覽器項(xiàng)目。多次攻破Edge瀏覽器獲得RCE并取得微軟Edge CVE公開致謝,在MSRC 2017中排名43。多次攻破Chrome瀏覽器獲得RCE并取得谷歌Chromium CVE公開致謝。同時(shí)多次獲得蘋果CVE致謝,獨(dú)立發(fā)現(xiàn)多個(gè)Safari RCE，蘋果內(nèi)核本地提權(quán)等漏洞。

議題概要

近年來，手機(jī)瀏覽器的安全問題一直是安全研究的焦點(diǎn)。大量的漏洞修補(bǔ)以及瀏覽器、操作系統(tǒng)層面的保護(hù)使得瀏覽器遠(yuǎn)程代碼執(zhí)行越來越難。在Mobile Pwn2Own 2017中，我們成功攻破了iPhone 7的Wifi和Mobile Safari項(xiàng)目。在這個(gè)議題中，我們將著重介紹我們?yōu)镸obile Pwn2Own 2017準(zhǔn)備的（用上的和沒用上的）瀏覽器遠(yuǎn)程執(zhí)行漏洞，包括Webkit JIT漏洞，WebKit DOM漏洞，Chrome的JS引擎漏洞。我們會(huì)介紹漏洞相關(guān)原理，挖掘方法以及利用技巧。值得一提的是，我們用到了兩個(gè)WebKit JIT引擎的漏洞。最近一年來，瀏覽器的JIT引擎漏洞受到越來越多的關(guān)注，我們也會(huì)針對(duì)相關(guān)內(nèi)容做一些展開介紹。

作為一種通用的漏洞緩解（Exploit Mitigation）技術(shù)，隔離堆（Isolated Heap）已經(jīng)成功運(yùn)用于多個(gè)主流瀏覽器如Chrome、FireFox、Edge、IE等。2017年下半年我們注意到WebKit代碼中也開始引入了隔離堆機(jī)制。WebKit中的隔離堆對(duì)于傳統(tǒng)Exploit中的Heap Spray，UAF占位、任意地址讀寫等方面均造成了一定的影響。本議題中我們將會(huì)介紹WebKit隔離堆的基本原理，它對(duì)今后WebKit漏洞發(fā)掘和利用的影響，以及我們?cè)贛obile Pwn2Own比賽前針對(duì)隔離堆機(jī)制實(shí)現(xiàn)的Exploit預(yù)案。

Bread: 接踵而來的短信詐騙

演講嘉賓： Alec Guertin

Alec作為一名軟件/逆向工程師為Google Play Protect工作。他的主要研究方向是如何檢測針對(duì)Android系統(tǒng)的惡意軟件。

議題概要

在2010年，F(xiàn)akePlayer是第一個(gè)被發(fā)現(xiàn)的針對(duì)Android系統(tǒng)的惡意樣本，它會(huì)在用戶不知情的情況下發(fā)送短信。8年后的今天，短信詐騙仍然是一種流行的方式來為惡意軟件開發(fā)者帶來收益。不過，隨著保護(hù)和檢測機(jī)制的不斷加強(qiáng)，惡意軟件開發(fā)者需要更多的努力來躲避檢測。

本議題中我們會(huì)介紹Bread，這是Google Play Protect檢測到的最龐大的惡意軟件家族之一。我們會(huì)深入分析Bread的作者運(yùn)用了哪些創(chuàng)新的技術(shù)來躲避檢測并欺騙用戶。其中的一些技術(shù)包括動(dòng)態(tài)根據(jù)運(yùn)行環(huán)境調(diào)整內(nèi)容，偽造的隱私申明以及通過原生代碼或者服務(wù)器的Javascript來發(fā)送短信。

兩個(gè)Malloc的故事：Android libc內(nèi)存分配器

演講嘉賓： Shmarya

Shmarya作為一名攻防安全研究員已經(jīng)工作了12多年。他曾經(jīng)是思科的安全威脅分析和逆向工程中心的高級(jí)技術(shù)負(fù)責(zé)人，然后去了NSO集團(tuán)作為一個(gè)攻防安全研究員。他是天生的黑客，其最大的樂趣是破解復(fù)雜的軟件和硬件系統(tǒng)。他的工作涉獵到多個(gè)平臺(tái)，專注于逆向工程，漏洞發(fā)現(xiàn)和漏洞利用開發(fā)，目前專注于嵌入式和移動(dòng)平臺(tái)。他在家里逆向多種架構(gòu)和操作系統(tǒng)，以及焊接烙鐵、示波器和邏輯分析儀。他為多個(gè)開源項(xiàng)目做出貢獻(xiàn)，包括將Frida二進(jìn)制測試框架移植到MIPS、ARM- Linux和ARM-QNX。他每天面對(duì)的挑戰(zhàn)之一是在Android平臺(tái)上創(chuàng)建穩(wěn)定、通用的漏洞利用。

議題概要

Android的libc分配器使用兩個(gè)malloc的實(shí)現(xiàn)之一：dlmalloc或jemalloc。本議題會(huì)探討這些malloc的實(shí)現(xiàn)，深入了解其中每一個(gè)的相關(guān)細(xì)節(jié)，從而能準(zhǔn)確理解它們是如何工作的。我們會(huì)討論分配和釋放內(nèi)存的算法細(xì)節(jié)，以及每個(gè)分配器所使用的數(shù)據(jù)結(jié)構(gòu)和元數(shù)據(jù)。此外我們還將討論如何使用這些分配器在Android設(shè)備上執(zhí)行堆布局并利用堆緩沖區(qū)溢出漏洞。本議題會(huì)以一個(gè)Android系統(tǒng)的堆破壞漏洞為例，來講解如何利用堆分配器。

回顧蘋果的iBoot

演講嘉賓： Xerub

Xerub在信息安全領(lǐng)域有12年的從業(yè)經(jīng)驗(yàn)。他白天研究防御技術(shù)，晚上研究攻擊技術(shù)。擅長的領(lǐng)域包括逆向工程，惡意代碼分析，模擬器以及iOS漏洞利用。

議題概要

現(xiàn)代安全移動(dòng)設(shè)備的基石之一就是安全啟動(dòng)鏈。本議題會(huì)介紹如何針對(duì)iOS系統(tǒng)的iBoot編寫漏洞利用，以及相關(guān)的安全概念、弱點(diǎn)、漏洞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。