MOSEC2017 | 劝君更尽一杯酒,明年故地再相约

看点 作者:盘古 2017-06-25 08:05:56
第三届MOSEC移动安全技术峰会于2017年6月23日在上海举办。来自全球的优秀互联网专家齐聚上海,带来移动安全领域技术的汇集和碰撞。今年的MOSEC,仍旧满满干货,技术与趣味并存。让我们一起回顾这满是回忆的盛会吧,嘿喂够! MOSEC议题一览
百度安全实验室:Android应用签名的枷锁与革新 Luca Todesco:现代iOS系统溢出缓解机制 360UnicornTeam:天空之城 —— 飞控安全攻防剖析 Lookout:Pwning苹果手表 360AlphaTeam:伤痕累累的Android Wi-Fi驱动 — 从本地提权到远程攻击 Embedi:幻象之盒 腾讯科恩实验室:iOS 10内核安全漫谈
MOSEC议题巡展 Android应用签名的枷锁与革新 议题概要 Android生态强烈地依赖应用签名;应用商店需要通过签名来验证版本更替、应用安装时需要校验签名防止篡改、安全厂商也常常需要通过签名来关联应用开发者。总之,Android应用签名私钥具有“不可遗失”、无法更换的特点。然而,近年来Android应用签名私钥泄漏或滥用的现象层出不穷,多家互联网公司都不能幸免,因此Android生态对签名证书的固守反而成来很大的安全威胁。此外,很多公司在多年以前采用来签名算法比较弱的证书,随着破解算法和计算资源的进步,升级证书也迫在眉睫。针对这一问题,本报告将横向比较Android/iOS/Mac/Windows等平台的签名、验签机制,并提出一种简单有效、且能兼容现有Android系统和应用商店的解决方案。这一方案将为Android生态一起联手打击黑产提供重要的基石。 现代iOS系统溢出缓解机制 议题概要 天才少年Luca(@qwertyoruiopz)分享了议题《现代iOS系统溢出缓解机制》。苹果的缓解措施包罗万象,但sandbox,kpp,secure enclave,watchtower有各种绕过方法,在这当中更改TTBR1_EL1是一个核心方法,一次性写寄存器也是内核的一种重要缓解方法,IP6中写状态存放在内存中,通过RVBAR_E1可以直接修改,而IP7中则直接采用硬件来检测很多行为。他还介绍了很多arm64下ROP的技巧,以及MACH消息的回调对内核利用和浏览器利用的帮助,和不就将来CFI上了以后的绕过思路。可以说他不仅仅着眼已有的缓解措施绕过,也已经想到了很多未来缓解措施的绕过。并且从他自身看不到所谓的内核,浏览器等的安全研究界限,几乎每一个领域都研究的很通透,才能形成整体的绕过。 天空之城-飞控安全攻防剖析 议题概要 张婉桥分享议题《天空之城—飞控安全攻防剖析》。民航飞机在行驶中,可能遭受到远程的攻击。TCAS用于在空中飞行时,飞机间确定彼此位置,伪造其信号,虽然可能造成飞机困扰,但也会暴露攻击者位置,因为20W的发射器才能保证地面干扰空中。盲降系统信号伪造,也可能导致落地时发生事故,飞行员需要切回手动控制才能避免。ACAS标识了飞机的发动机运行状态,采用MSK编码,同样易于遭受伪造干扰。而通过通话信号劫持,更是会让飞机的降落和起飞时出现意外。一旦上述攻击同时进行,除非是有经验的飞机员,不然灾难难免。之所以飞机仍然采用这些古老的通信方式,虽然没法避免遭受攻击,但也增加了生存可能。大脑可能自动滤波,得到AM信息,减少加密也是为了增加危机时候的信息。 Pwning苹果手表 议题概要 Max(Lookout公司安全研究员)分享议题《Pwning苹果手表》。Apple Watch是32位系统,缓解措施虽然少一些,但需要在没有任何系统地址信息的情况下去pwn。第一步先要用信息泄露漏洞dump内核,用到的漏洞是CVE-2016-4655和CVE-2016-4680,利用UAF修改vtable指向崩溃地址中的LR,进一步可以利用崩溃信息泄露其他函数,如OSUnserialXXX函数地址,进而可以利用伪造的OSString对象dump内核。前期的泄露需要利用越狱的手机获取手表的日志,着实不易。一旦有了地址就可以按照一般的越狱思路,代码执行,patch代码签名,setuid函数拿到用户态root。手表的root可以获取的所有私有信息,录音,邮件,甚至连接过的手机信息。 伤痕累累的Android Wi-Fi驱动 - 从本地提权到远程攻击 议题概要 来自360 Alpha Team的陈豪分享议题《伤痕累累的Android Wi-Fi驱动—从本地提权到远程攻击》。Wifi 驱动中除了之前被研究的很多的WEXT扩展部分的漏洞,还有CFG80211接口。用户态使用libnl库可以直接发送消息,会被这一层的代码响应。其响应函数,特别是Vendor相关的函数中,他们发现了20多个漏洞。此外,Wifi的SOC固件,也会出现问题。之前P0发也发表过从数据帧到内核代码执行的文章。SOC和内核之间也有event的通信机制,内核对event之前是完全信任,并没有考虑来自SOC的攻击。他们分析了博通和高通的SOC的架构,以及上层host driver的处理机制,并发现了一些问题。 幻象之盒 议题概要 来自embedi公司的Peter分享议题《幻象之盒》。BitDefenderBox用于保护网络中连接的IOT设备的,他能够过滤恶意连接,扫描已知的漏洞。但其本身也有问题,通过dump固件分析,他拿到了ssh权限,逆向了web api逻辑,知道了BitDefenderBox是如何扫描漏洞的,以及绕过token验证的方法。最后他演示了一套完整的攻击路径。先通过Dlink路由器0day拿到路由器权限,利用BitDefenderBox漏洞取得ssh,绕过检测,然后利用内网的一个IP CAM的漏洞,取得内网IOT设备的远程shell。 iOS 10内核安全漫谈 议题概要 陈良分享了议题《iOS 10内核安全漫谈》。议题介绍了近一年来的越狱工具,yalu,pangu的方法,苹果的缓解措施。特别介绍了IOAccelResouce2接口,类似IOSurface,但更接近显卡,并且他们在这当中发现了很多问题。之后介绍了一些苹果从机制上缓解漏洞的方法,比如IOConnectCallMethod中的inputstruct大于4096时候的mmap导致的race。以及P0利用Mach Port漏洞拿tfp0的方法,并且在IP7上也终于开启了arm64的smap。演讲结束时,他演示了ip6和7最近版本iOS的越狱展示,先绕过沙盒保护,在利用之外的内核漏洞绕过kpp和AMCC,最后安装了Cydia。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接