PAC研究

Brandon Azad

議題概要

蘋果繼續(xù)推出硬件緩解措施，使針對(duì)iPhone的攻擊變得更加困難。在本議題中，我們將分析蘋果在A12 SOC上實(shí)現(xiàn)的PAC機(jī)制。與原來(lái)的ARM設(shè)計(jì)相比，PAC大大加強(qiáng)了對(duì)內(nèi)核攻擊的防護(hù)。基于任意內(nèi)核讀/寫，我們將測(cè)試PAC的行為表現(xiàn)、推測(cè)PAC的實(shí)現(xiàn)、并嘗試找到繞過(guò)它的方法。我將介紹我發(fā)現(xiàn)的繞過(guò)PAC獲得內(nèi)核代碼執(zhí)行的5種不同技術(shù)。

演講嘉賓介紹

Brandon Azad是Google Project Zero的安全研究員，專門研究MacOS和iOS安全。

釘槍：突破ARM特權(quán)隔離

寧振宇  張鋒巍

議題概要

現(xiàn)在的處理器都配備了調(diào)試功能，以方便程序的調(diào)試和分析。盡管調(diào)試體系結(jié)構(gòu)已經(jīng)提出多年，但是調(diào)試功能的安全性還沒(méi)有得到充分的檢查，因?yàn)樗ǔＰ枰锢碓L問(wèn)才能在傳統(tǒng)的調(diào)試模型中使用這些功能。

ARM引入了一個(gè)新的調(diào)試模型，該模型自ARMv7以來(lái)不需要任何物理訪問(wèn)。在這種新的調(diào)試模型中，主機(jī)處理器能夠暫停和調(diào)試同一芯片上的另一個(gè)目標(biāo)處理器(處理器間調(diào)試)。Nailgun攻擊的思想是利用這種處理器間調(diào)試能力，因?yàn)樗试S低權(quán)限處理器暫停和調(diào)試高權(quán)限的目標(biāo)處理器。

我們的實(shí)驗(yàn)發(fā)現(xiàn)了許多易受攻擊的設(shè)備，包括Raspberry Pi這樣的物聯(lián)網(wǎng)設(shè)備、所有基于ARM的商業(yè)云平臺(tái)，以及華為、摩托羅拉和小米等移動(dòng)電話。為了進(jìn)一步驗(yàn)證，我們證明了釘槍攻擊可以用于訪問(wèn)Raspberry PI上的安全配置寄存器(只有在安全狀態(tài)下才能訪問(wèn))，并使用非安全內(nèi)核模塊提取存儲(chǔ)在華為Mate 7安全內(nèi)存中的指紋圖像。

演講嘉賓介紹

寧振宇是韋恩州立大學(xué)計(jì)算機(jī)科學(xué)系的博士生。他2011年從同濟(jì)大學(xué)畢業(yè)，獲得了計(jì)算機(jī)科學(xué)的碩士學(xué)位，研究方向是硬件輔助系統(tǒng)安全、嵌入式系統(tǒng)和可信執(zhí)行環(huán)境。

張鋒巍是韋恩州立大學(xué)計(jì)算機(jī)科學(xué)系COMPASS(計(jì)算機(jī)與系統(tǒng)安全)實(shí)驗(yàn)室主任、助理教授。2015年，他獲得喬治梅森大學(xué)(George Mason University)計(jì)算機(jī)科學(xué)博士學(xué)位。他的研究興趣在系統(tǒng)安全領(lǐng)域，重點(diǎn)是可信執(zhí)行、硬件輔助安全等。張鋒巍在系統(tǒng)安全方面有10年以上的工作經(jīng)驗(yàn)。他的工作得到了安全社區(qū)的廣泛認(rèn)可，發(fā)表了30多篇頂級(jí)會(huì)議/期刊論文。

危險(xiǎn)的文件快傳應(yīng)用：億級(jí)用戶量的隱私泄露漏洞的發(fā)現(xiàn)、利用和防御

張向前   劉惠明

議題概要

目前，大部分廠商的手機(jī)都會(huì)預(yù)裝文件快傳應(yīng)用，這些應(yīng)用相比藍(lán)牙、WiFi等傳統(tǒng)的傳輸工具更方便快捷。然而，用戶在享受方便快捷的同時(shí)面臨著巨大的安全風(fēng)險(xiǎn)。我們的研究發(fā)現(xiàn)大部分的文件快傳應(yīng)用都存在安全風(fēng)險(xiǎn)，這會(huì)造成文件被竊取、篡改等，甚至造成更加嚴(yán)重的后果。

通過(guò)對(duì)主流的Android手機(jī)廠商預(yù)裝的文件快傳應(yīng)用逆向分析，我們發(fā)現(xiàn)了數(shù)十個(gè)高危漏洞。這些應(yīng)用在設(shè)計(jì)上存在許多安全缺陷，導(dǎo)致用戶隱私數(shù)據(jù)泄露、文件被竊取、任意文件下載甚至遠(yuǎn)程代碼執(zhí)行等。我們將展示詳細(xì)的漏洞細(xì)節(jié)和利用方法。我們也對(duì)市面上大量的第三方應(yīng)用進(jìn)行了研究，發(fā)現(xiàn)它們同樣存在嚴(yán)重的安全漏洞。這些應(yīng)用加起來(lái)有超過(guò)十億的用戶量，但是它們的安全風(fēng)險(xiǎn)卻一直被人們忽略，攻擊者可以輕松獲取和篡改附近使用此類應(yīng)用傳輸?shù)奈募Ｎ覀冊(cè)敿?xì)總結(jié)了快傳類應(yīng)用的所有攻擊面，并展示兩種通用的攻擊方法。我們也會(huì)展示相關(guān)demo和工具。

另外，我們也會(huì)分享對(duì)相關(guān)漏洞的修復(fù)建議，并提出了一種兼顧安全和便捷性的文件快傳方案。目前我們正在與主流的手機(jī)廠商合作推動(dòng)修復(fù)漏洞。通過(guò)這次分享，希望手機(jī)廠商和第三方開(kāi)發(fā)者重視此類應(yīng)用的安全性，共同保護(hù)用戶的數(shù)據(jù)安全。

演講嘉賓介紹

張向前是騰訊安全玄武實(shí)驗(yàn)室安全研究員，研究方向是移動(dòng)安全。曾發(fā)現(xiàn)多個(gè)Android內(nèi)核和系統(tǒng)安全漏洞，并獲得google致謝。

劉惠明是騰訊安全玄武實(shí)驗(yàn)室安全研究員，研究方向是移動(dòng)安全和iot安全。他曾經(jīng)在包括CanSecWest和BlackHat Asia等多個(gè)會(huì)議上發(fā)表過(guò)演講。

全球衛(wèi)星搜救系統(tǒng)的安全性分析

郝經(jīng)利

議題概要

全球衛(wèi)星搜救系統(tǒng)是一個(gè)基于衛(wèi)星的搜索與救援系統(tǒng)，針對(duì)分析這些信號(hào)時(shí)發(fā)現(xiàn)，這個(gè)系統(tǒng)被嚴(yán)重干擾，同時(shí)也發(fā)現(xiàn)了這個(gè)系統(tǒng)的其他一系列脆弱環(huán)節(jié)及被攻擊的可能性。

演講嘉賓介紹

360 安全研究院研究員，獨(dú)角獸團(tuán)隊(duì)成員，主要研究方向?yàn)樾l(wèi)星通信。

模糊測(cè)試蜂窩網(wǎng)絡(luò)(如果允許的話)

Yongdae Kim

議題概要

為防止意外故障，3GPP等標(biāo)準(zhǔn)已經(jīng)定義了LTE的安全特性，但有研究發(fā)現(xiàn)了一些LTE的漏洞，如DNS劫持、使用虛假基站的DoS攻擊和用戶位置跟蹤。然而，這些研究都沒(méi)有將重點(diǎn)放在分析運(yùn)營(yíng)LTE網(wǎng)絡(luò)中的網(wǎng)絡(luò)側(cè)問(wèn)題上，盡管這種性質(zhì)的漏洞一旦被利用就會(huì)影響到許多用戶。由于LTE中的控制平面組件（control plane components）仍未得到充分的研究，我們通過(guò)構(gòu)造精心制作的惡意輸入、動(dòng)態(tài)分析產(chǎn)生的核心網(wǎng)絡(luò)響應(yīng)，研究了在運(yùn)行的LTE網(wǎng)絡(luò)(以及蜂窩調(diào)制解調(diào)器)中控制平面過(guò)程中的潛在問(wèn)題。

在這篇演講中，我將介紹LTEFuzz，這是一種用于LTE的半自動(dòng)測(cè)試工具，它對(duì)LTE控制平面程序的安全屬性進(jìn)行了廣泛的測(cè)試。LTEFuzz動(dòng)態(tài)生成測(cè)試用例并將其發(fā)送到目標(biāo)網(wǎng)絡(luò)或設(shè)備，然后通過(guò)檢查來(lái)自目標(biāo)的測(cè)試器和受害者設(shè)備的響應(yīng)，確定性地分類發(fā)現(xiàn)有問(wèn)題的行為模式。為了系統(tǒng)地生成測(cè)試用例，我們首先通過(guò)廣泛分析3GPP規(guī)范中規(guī)定的網(wǎng)絡(luò)組件的正確行為和它們的安全需求，創(chuàng)建了三個(gè)安全屬性。通過(guò)對(duì)運(yùn)行中的網(wǎng)絡(luò)進(jìn)行測(cè)試，我們發(fā)現(xiàn)了51個(gè)漏洞(36個(gè)新漏洞和15個(gè)以前已知的漏洞)，這些漏洞主要是由于對(duì)1)未受保護(hù)的初始過(guò)程、2)精心編制的普通請(qǐng)求、3)具有無(wú)效完整性保護(hù)的消息、4)重放消息和5)安全過(guò)程繞過(guò)而造成的。我將通過(guò)利用我們?cè)谶\(yùn)行網(wǎng)絡(luò)中發(fā)現(xiàn)的漏洞來(lái)展示新的攻擊場(chǎng)景，介紹確切的根源分析。分析和解決這些問(wèn)題的潛在對(duì)策。

演講嘉賓介紹

Yongdae Kim是韓國(guó)科學(xué)技術(shù)院（KAIST）教授、網(wǎng)絡(luò)安全研究中心的主任。他于南加州大學(xué)計(jì)算機(jī)科學(xué)系獲得博士學(xué)位。2002至2012年間，他在明尼蘇達(dá)雙城大學(xué)計(jì)算機(jī)科學(xué)與工程系擔(dān)任副教授/助理教授。去美國(guó)之前，他在ETRI工作了6年，以確保韓國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。2013至2016年間，他擔(dān)任KAIST主席教授，并于2005年獲得了美國(guó)國(guó)家科學(xué)基金會(huì)職業(yè)成就獎(jiǎng)和明尼蘇達(dá)大學(xué)McKnight Land-Grant教授獎(jiǎng)。目前，他是ACM TOPS的副主編，并在2012-2018年間擔(dān)任NDSS的指導(dǎo)委員會(huì)成員。他的主要研究包括針對(duì)新興技術(shù)的新攻擊和分析方法，如無(wú)人機(jī)/自動(dòng)駕駛汽車、4G/5G蜂窩網(wǎng)絡(luò)和BlockChain等網(wǎng)絡(luò)物理系統(tǒng)。

DramaQueen - Drammer和Rampage攻擊之旅

Victor van der Veen

議題概要

在過(guò)去的兩年內(nèi)，Rowhammer漏洞從一開(kāi)始被認(rèn)為是很難利用的內(nèi)存錯(cuò)誤逐漸變成一種穩(wěn)定的攻擊向量。研究人員不但演示了針對(duì)桌面系統(tǒng)的攻擊，還通過(guò)單字節(jié)翻轉(zhuǎn)成功攻陷了云和移動(dòng)設(shè)備，這些都不依賴于任何的軟件漏洞。本議題將會(huì)深入介紹利用Drammer（2016）和Rampage（2018）在安卓系統(tǒng)上實(shí)現(xiàn)權(quán)限提升的技術(shù)細(xì)節(jié)。

在簡(jiǎn)單介紹Rowhammer漏洞原理及如何在移動(dòng)設(shè)備（ARMv7/ARMv8）上觸發(fā)后，我們會(huì)詳細(xì)介紹如何對(duì)物理內(nèi)存進(jìn)行布局的技術(shù)。我們將演示如果通過(guò)安卓的/dev/ion設(shè)備來(lái)控制分配連續(xù)的物理頁(yè)面。通過(guò)ion接口，我們可以精確得控制頁(yè)表所在的內(nèi)存位置，這也是基于Rowhammer漏洞提權(quán)攻擊的第一種方式：Drammer。隨后我們來(lái)評(píng)估Google的相關(guān)修補(bǔ)：移除了ion中的連續(xù)堆內(nèi)存。從而引出了本議題中介紹的第二部分內(nèi)容：Rampage。我們會(huì)介紹一種新的技術(shù)來(lái)重新完成物理內(nèi)存布局，這種方式不再依賴于連續(xù)內(nèi)存的分配器。

最后作為結(jié)論，我們提出針對(duì)Rowhammer的緩解機(jī)制并預(yù)測(cè)未來(lái)的攻擊會(huì)是如何的。

演講嘉賓介紹

Victor van der Veen目前是高通（Qualcomm）的產(chǎn)品安全工程師。在此之前，Victor在阿姆斯特丹自由大學(xué)獲取了計(jì)算機(jī)的碩士學(xué)位及網(wǎng)絡(luò)安全的博士學(xué)位。在Herbert Bos教授的帶領(lǐng)下，他的研究?jī)?nèi)容專注于軟硬件相關(guān)的內(nèi)存類錯(cuò)誤。Victor第一個(gè)提出移動(dòng)平臺(tái)也受Rowhammer漏洞影響。相關(guān)的研究工作（Drammer, Rampage, Guardian）廣受好評(píng)，包括在Blackhat 2017年獲取了Pwnie。同時(shí)他還是TraceDroid和Andrubis的開(kāi)發(fā)者之一，這兩個(gè)平臺(tái)用于分析安卓的惡意軟件。

無(wú)處安放的shellcode

張弛   韓洪立

議題概要

在Android用戶態(tài)，實(shí)現(xiàn)完整的漏洞提權(quán)越來(lái)越困難。從Android N開(kāi)始，一系列的SELinux策略被引入，用來(lái)限制在用戶態(tài)進(jìn)程中創(chuàng)建可執(zhí)行內(nèi)存。這使得，即使可以通過(guò)漏洞控制用戶態(tài)進(jìn)程的PC，仍然無(wú)法按照傳統(tǒng)方式安放并執(zhí)行shellcode，在用戶態(tài)進(jìn)程如system_server中，執(zhí)行完全可控的任意代碼變成了一件幾乎不可能的事情。

為了打破這一壁壘，繞過(guò)用戶態(tài)的防護(hù)措施來(lái)實(shí)現(xiàn)提權(quán)，我們研究并實(shí)現(xiàn)了一種全新的用戶態(tài)進(jìn)程攻擊方法，通過(guò)借助JavaVM解釋器來(lái)執(zhí)行惡意Java字節(jié)碼。與以往的通過(guò)執(zhí)行本地代碼來(lái)實(shí)現(xiàn)提權(quán)的方式不同，由于Java字節(jié)碼是以數(shù)據(jù)的形式存放，依靠Java的解釋執(zhí)行機(jī)制便不再需要可執(zhí)行內(nèi)存了，這就打破了目前SELinux防護(hù)策略的封堵。

同時(shí)，我們也會(huì)介紹一個(gè)C0RE Team率先發(fā)現(xiàn)的Binder漏洞。這個(gè)漏洞源于內(nèi)核，受影響的是用戶態(tài)進(jìn)程。它可以被惡意APP用來(lái)攻擊任意能通過(guò)Binder與之交互的系統(tǒng)服務(wù)進(jìn)程。我們將會(huì)利用這個(gè)漏洞演示如何控制PC，并利用前述繞過(guò)技術(shù)在system_server進(jìn)程中執(zhí)行惡意代碼。

演講嘉賓介紹

張弛是奇虎360 C0RE Team的一名安全研究員，他主要從事安卓框架層的漏洞挖掘與利用。

韓洪立是奇虎360 C0RE Team的一名安全研究員，他專注于安卓操作系統(tǒng)以及Linux內(nèi)核的安全研究。在過(guò)去的幾年里，他向谷歌、高通、英偉達(dá)、華為等廠商上報(bào)了數(shù)十個(gè)致命/高危漏洞，并得到了公開(kāi)的致謝。

舉例XNU中的引用計(jì)數(shù)問(wèn)題

招啟汛

議題概要

XNU對(duì)很多內(nèi)核對(duì)象使用引用計(jì)數(shù)機(jī)制進(jìn)行生命周期管理，我會(huì)簡(jiǎn)單介紹該機(jī)制，對(duì)應(yīng)的mitigation以及兩個(gè)我發(fā)現(xiàn)的具體漏洞例子。

第一個(gè)是我在天府杯2018遠(yuǎn)程越獄項(xiàng)目中使用的內(nèi)核提權(quán)漏洞(CVE-2019-6225)。我將會(huì)詳細(xì)講解這個(gè)漏洞的發(fā)現(xiàn)過(guò)程，root cause以及如何利用它 取得tfp0。

第二個(gè)是在iOS 12.2中修復(fù)的另一個(gè)類引用計(jì)數(shù)漏洞CVE-2019-8528。 這兩個(gè)漏洞都是沙盒內(nèi)可以直接調(diào)用的內(nèi)核漏洞，危害性巨大。

演講嘉賓介紹

招啟汛（@S0rryMybad）是奇虎360Vulcan團(tuán)隊(duì)的安全研究員，主要專注于瀏覽器及macOS/iOS系統(tǒng)。

他在Pwn2Own 2017/Mobile Pwn2Own 2017中攻破了Safari瀏覽器。

他在2018年天府杯中攻破了Edge/Chrome/Safari以及iPhoneX設(shè)備的遠(yuǎn)程越獄，并贏得了最佳個(gè)人大獎(jiǎng)。

他在微軟的MSRC2018最佳研究員中排名23。

新一代移動(dòng)網(wǎng)絡(luò)和基帶的崛起

Marco Grassi

議題概要

過(guò)去的一年中有許多關(guān)于新的無(wú)線電技術(shù)的討論，例如5G技術(shù)。

本議題會(huì)關(guān)注智能手機(jī)的基帶以及相關(guān)領(lǐng)域的技術(shù)，闡述它們對(duì)智能手機(jī)、IoT設(shè)備、汽車及一些關(guān)鍵基礎(chǔ)設(shè)施的影響。

我們會(huì)重點(diǎn)分析iPhone手機(jī)上全新使用的Intel基帶并預(yù)言未來(lái)基帶的發(fā)展方向。

演講嘉賓介紹

Marco Grassi(@marcograss) 是騰訊科恩實(shí)驗(yàn)室的一名高級(jí)研究員。他所在的隊(duì)伍贏得了Mobile Pwn2Own 2016的"Mobile Master of Pwn"。他也在同年的Pwn2Own 2016比賽中貢獻(xiàn)了針對(duì)Safari到root權(quán)限的破解。在Pwn2Own 2017比賽中，他發(fā)現(xiàn)了VMWare逃逸的漏洞。在Mobile Pwn2Own 2017的比賽中，他參與了基帶及iOS Wifi項(xiàng)目的破解，并第三次贏得"Master Of Pwn"。他在許多國(guó)際會(huì)議上發(fā)表過(guò)演講，包括Black Hat美國(guó)，DEF CON，Infiltrate，CanSecWest，ZeroNights，Codegate，HITB及ShakaCon。

灰燼中燃燒：基帶的童話故事

Guy

議題概要

如果你在平時(shí)使用的設(shè)備中發(fā)現(xiàn)了一個(gè)遠(yuǎn)程可利用的漏洞，會(huì)發(fā)生什么？

如果這個(gè)漏洞存在于設(shè)備中的重要通信芯片，會(huì)發(fā)生什么？

基帶研究有著較高的準(zhǔn)入門檻，因此阻擋了一些資金充裕的研究機(jī)構(gòu)外的人們。

與此同時(shí)，基帶研究的公開(kāi)信息仍然不多，許多研究者還不知道基帶研究其實(shí)并不是火箭技術(shù)那么高大上。

雖然沒(méi)有太多的公開(kāi)信息，在過(guò)去的一年中有一些可以通過(guò)空中觸發(fā)的可利用漏洞被發(fā)現(xiàn)并修補(bǔ)。我會(huì)在演講中分享我的經(jīng)驗(yàn)方法，如何分析這些漏洞的成因。

演講嘉賓介紹

Guy(@shiftreduce)是一位獨(dú)立安全研究者，專注于底層安全研究。

然而他并不一直逆向嵌入式設(shè)備，他通常會(huì)玩塞爾達(dá)，任天堂明星大亂斗，然后給女朋友做一些很可愛(ài)的禮物。

暢游EL3：終極提權(quán)之旅

聞?dòng)^行

議題概要

目前大部分使用了ARM芯片的移動(dòng)設(shè)備都部署了TrustZone。最常見(jiàn)的TrustZone模型下，設(shè)備會(huì)被劃分成四級(jí)特權(quán)(EL0-EL3)，以及可信和不可信區(qū)域(secure/non-secure)。這樣劃分結(jié)果使得，即便擁有不可信區(qū)域NS-EL1的操作系統(tǒng)內(nèi)核權(quán)限，仍然無(wú)法訪問(wèn)全部?jī)?nèi)存和外設(shè)，很多功能仍被可信區(qū)域所阻攔(隱藏)。此前很多關(guān)于TrustZone的安全研究已經(jīng)取得過(guò)，運(yùn)行于S-EL0的應(yīng)用(TA)和運(yùn)行于S-EL1的內(nèi)核(TEE Kernel)的執(zhí)行權(quán)限。但鮮有人關(guān)注Android手機(jī)EL3這一層的安全問(wèn)題。

本議題會(huì)帶聽(tīng)眾從NS-EL1開(kāi)始，進(jìn)行為期一小時(shí)的EL3深度游，內(nèi)容包括：

EL3和兩個(gè)區(qū)域的邏輯關(guān)系；攻擊面以及如何找到一個(gè)可利用的漏洞 (去年7月已修復(fù))；如何一步步利用該漏洞取得EL3的執(zhí)行權(quán)限；最后通過(guò)一個(gè)例子說(shuō)明EL3的特權(quán)之特。

演講嘉賓介紹

聞?dòng)^行是盤古實(shí)驗(yàn)室的安全研究員，他目前關(guān)注的是安卓底層的漏洞分析和利用。他之前在Infiltrate，Black Hat，44con等安全會(huì)議發(fā)表過(guò)議題。

一些JSC的故事

Luca

議題概要

隨著不斷加強(qiáng)的溢出緩解機(jī)制，針對(duì)iOS系統(tǒng)的遠(yuǎn)程漏洞攻擊面也在迅速變化。本議題首先會(huì)介紹一個(gè)老的Webkit漏洞來(lái)展示某一類問(wèn)題，并分析最新的緩解機(jī)制對(duì)漏洞利用的影響。隨后會(huì)介紹一個(gè)JSC引擎中的高質(zhì)量漏洞，并且演示如何繞過(guò)當(dāng)前所有的漏洞緩解機(jī)制來(lái)利用該漏洞。

演講嘉賓介紹

Luca（@qwertyoruiopz）是一位來(lái)自意大利的安全研究人員，他年輕而富有天賦，喜歡破解各種設(shè)備。他在去年發(fā)布了針對(duì)iOS 10.2的越獄 Yalu，并且完全繞過(guò)了KPP防護(hù)。他曾經(jīng)破解過(guò)iPhone，PS4以及任天堂的Switch。