PAC研究

Brandon Azad

議題概要

蘋果繼續(xù)推出硬件緩解措施，使針對iPhone的攻擊變得更加困難。在本議題中，我們將分析蘋果在A12 SOC上實現(xiàn)的PAC機制。與原來的ARM設計相比，PAC大大加強了對內核攻擊的防護?；谌我鈨群俗x/寫，我們將測試PAC的行為表現(xiàn)、推測PAC的實現(xiàn)、并嘗試找到繞過它的方法。我將介紹我發(fā)現(xiàn)的繞過PAC獲得內核代碼執(zhí)行的5種不同技術。

演講嘉賓介紹

Brandon Azad是Google Project Zero的安全研究員，專門研究MacOS和iOS安全。

釘槍：突破ARM特權隔離

寧振宇  張鋒巍

議題概要

現(xiàn)在的處理器都配備了調試功能，以方便程序的調試和分析。盡管調試體系結構已經提出多年，但是調試功能的安全性還沒有得到充分的檢查，因為它通常需要物理訪問才能在傳統(tǒng)的調試模型中使用這些功能。

ARM引入了一個新的調試模型，該模型自ARMv7以來不需要任何物理訪問。在這種新的調試模型中，主機處理器能夠暫停和調試同一芯片上的另一個目標處理器(處理器間調試)。Nailgun攻擊的思想是利用這種處理器間調試能力，因為它允許低權限處理器暫停和調試高權限的目標處理器。

我們的實驗發(fā)現(xiàn)了許多易受攻擊的設備，包括Raspberry Pi這樣的物聯(lián)網設備、所有基于ARM的商業(yè)云平臺，以及華為、摩托羅拉和小米等移動電話。為了進一步驗證，我們證明了釘槍攻擊可以用于訪問Raspberry PI上的安全配置寄存器(只有在安全狀態(tài)下才能訪問)，并使用非安全內核模塊提取存儲在華為Mate 7安全內存中的指紋圖像。

演講嘉賓介紹

寧振宇是韋恩州立大學計算機科學系的博士生。他2011年從同濟大學畢業(yè)，獲得了計算機科學的碩士學位，研究方向是硬件輔助系統(tǒng)安全、嵌入式系統(tǒng)和可信執(zhí)行環(huán)境。

張鋒巍是韋恩州立大學計算機科學系COMPASS(計算機與系統(tǒng)安全)實驗室主任、助理教授。2015年，他獲得喬治梅森大學(George Mason University)計算機科學博士學位。他的研究興趣在系統(tǒng)安全領域，重點是可信執(zhí)行、硬件輔助安全等。張鋒巍在系統(tǒng)安全方面有10年以上的工作經驗。他的工作得到了安全社區(qū)的廣泛認可，發(fā)表了30多篇頂級會議/期刊論文。

危險的文件快傳應用：億級用戶量的隱私泄露漏洞的發(fā)現(xiàn)、利用和防御

張向前   劉惠明

議題概要

目前，大部分廠商的手機都會預裝文件快傳應用，這些應用相比藍牙、WiFi等傳統(tǒng)的傳輸工具更方便快捷。然而，用戶在享受方便快捷的同時面臨著巨大的安全風險。我們的研究發(fā)現(xiàn)大部分的文件快傳應用都存在安全風險，這會造成文件被竊取、篡改等，甚至造成更加嚴重的后果。

通過對主流的Android手機廠商預裝的文件快傳應用逆向分析，我們發(fā)現(xiàn)了數(shù)十個高危漏洞。這些應用在設計上存在許多安全缺陷，導致用戶隱私數(shù)據泄露、文件被竊取、任意文件下載甚至遠程代碼執(zhí)行等。我們將展示詳細的漏洞細節(jié)和利用方法。我們也對市面上大量的第三方應用進行了研究，發(fā)現(xiàn)它們同樣存在嚴重的安全漏洞。這些應用加起來有超過十億的用戶量，但是它們的安全風險卻一直被人們忽略，攻擊者可以輕松獲取和篡改附近使用此類應用傳輸?shù)奈募?。我們詳細總結了快傳類應用的所有攻擊面，并展示兩種通用的攻擊方法。我們也會展示相關demo和工具。

另外，我們也會分享對相關漏洞的修復建議，并提出了一種兼顧安全和便捷性的文件快傳方案。目前我們正在與主流的手機廠商合作推動修復漏洞。通過這次分享，希望手機廠商和第三方開發(fā)者重視此類應用的安全性，共同保護用戶的數(shù)據安全。

演講嘉賓介紹

張向前是騰訊安全玄武實驗室安全研究員，研究方向是移動安全。曾發(fā)現(xiàn)多個Android內核和系統(tǒng)安全漏洞，并獲得google致謝。

劉惠明是騰訊安全玄武實驗室安全研究員，研究方向是移動安全和iot安全。他曾經在包括CanSecWest和BlackHat Asia等多個會議上發(fā)表過演講。

全球衛(wèi)星搜救系統(tǒng)的安全性分析

郝經利

議題概要

全球衛(wèi)星搜救系統(tǒng)是一個基于衛(wèi)星的搜索與救援系統(tǒng)，針對分析這些信號時發(fā)現(xiàn)，這個系統(tǒng)被嚴重干擾，同時也發(fā)現(xiàn)了這個系統(tǒng)的其他一系列脆弱環(huán)節(jié)及被攻擊的可能性。

演講嘉賓介紹

360 安全研究院研究員，獨角獸團隊成員，主要研究方向為衛(wèi)星通信。

模糊測試蜂窩網絡(如果允許的話)

Yongdae Kim

議題概要

為防止意外故障，3GPP等標準已經定義了LTE的安全特性，但有研究發(fā)現(xiàn)了一些LTE的漏洞，如DNS劫持、使用虛假基站的DoS攻擊和用戶位置跟蹤。然而，這些研究都沒有將重點放在分析運營LTE網絡中的網絡側問題上，盡管這種性質的漏洞一旦被利用就會影響到許多用戶。由于LTE中的控制平面組件（control plane components）仍未得到充分的研究，我們通過構造精心制作的惡意輸入、動態(tài)分析產生的核心網絡響應，研究了在運行的LTE網絡(以及蜂窩調制解調器)中控制平面過程中的潛在問題。

在這篇演講中，我將介紹LTEFuzz，這是一種用于LTE的半自動測試工具，它對LTE控制平面程序的安全屬性進行了廣泛的測試。LTEFuzz動態(tài)生成測試用例并將其發(fā)送到目標網絡或設備，然后通過檢查來自目標的測試器和受害者設備的響應，確定性地分類發(fā)現(xiàn)有問題的行為模式。為了系統(tǒng)地生成測試用例，我們首先通過廣泛分析3GPP規(guī)范中規(guī)定的網絡組件的正確行為和它們的安全需求，創(chuàng)建了三個安全屬性。通過對運行中的網絡進行測試，我們發(fā)現(xiàn)了51個漏洞(36個新漏洞和15個以前已知的漏洞)，這些漏洞主要是由于對1)未受保護的初始過程、2)精心編制的普通請求、3)具有無效完整性保護的消息、4)重放消息和5)安全過程繞過而造成的。我將通過利用我們在運行網絡中發(fā)現(xiàn)的漏洞來展示新的攻擊場景，介紹確切的根源分析。分析和解決這些問題的潛在對策。

演講嘉賓介紹

Yongdae Kim是韓國科學技術院（KAIST）教授、網絡安全研究中心的主任。他于南加州大學計算機科學系獲得博士學位。2002至2012年間，他在明尼蘇達雙城大學計算機科學與工程系擔任副教授/助理教授。去美國之前，他在ETRI工作了6年，以確保韓國網絡基礎設施的安全。2013至2016年間，他擔任KAIST主席教授，并于2005年獲得了美國國家科學基金會職業(yè)成就獎和明尼蘇達大學McKnight Land-Grant教授獎。目前，他是ACM TOPS的副主編，并在2012-2018年間擔任NDSS的指導委員會成員。他的主要研究包括針對新興技術的新攻擊和分析方法，如無人機/自動駕駛汽車、4G/5G蜂窩網絡和BlockChain等網絡物理系統(tǒng)。

DramaQueen - Drammer和Rampage攻擊之旅

Victor van der Veen

議題概要

在過去的兩年內，Rowhammer漏洞從一開始被認為是很難利用的內存錯誤逐漸變成一種穩(wěn)定的攻擊向量。研究人員不但演示了針對桌面系統(tǒng)的攻擊，還通過單字節(jié)翻轉成功攻陷了云和移動設備，這些都不依賴于任何的軟件漏洞。本議題將會深入介紹利用Drammer（2016）和Rampage（2018）在安卓系統(tǒng)上實現(xiàn)權限提升的技術細節(jié)。

在簡單介紹Rowhammer漏洞原理及如何在移動設備（ARMv7/ARMv8）上觸發(fā)后，我們會詳細介紹如何對物理內存進行布局的技術。我們將演示如果通過安卓的/dev/ion設備來控制分配連續(xù)的物理頁面。通過ion接口，我們可以精確得控制頁表所在的內存位置，這也是基于Rowhammer漏洞提權攻擊的第一種方式：Drammer。隨后我們來評估Google的相關修補：移除了ion中的連續(xù)堆內存。從而引出了本議題中介紹的第二部分內容：Rampage。我們會介紹一種新的技術來重新完成物理內存布局，這種方式不再依賴于連續(xù)內存的分配器。

最后作為結論，我們提出針對Rowhammer的緩解機制并預測未來的攻擊會是如何的。

演講嘉賓介紹

Victor van der Veen目前是高通（Qualcomm）的產品安全工程師。在此之前，Victor在阿姆斯特丹自由大學獲取了計算機的碩士學位及網絡安全的博士學位。在Herbert Bos教授的帶領下，他的研究內容專注于軟硬件相關的內存類錯誤。Victor第一個提出移動平臺也受Rowhammer漏洞影響。相關的研究工作（Drammer, Rampage, Guardian）廣受好評，包括在Blackhat 2017年獲取了Pwnie。同時他還是TraceDroid和Andrubis的開發(fā)者之一，這兩個平臺用于分析安卓的惡意軟件。

無處安放的shellcode

張弛   韓洪立

議題概要

在Android用戶態(tài)，實現(xiàn)完整的漏洞提權越來越困難。從Android N開始，一系列的SELinux策略被引入，用來限制在用戶態(tài)進程中創(chuàng)建可執(zhí)行內存。這使得，即使可以通過漏洞控制用戶態(tài)進程的PC，仍然無法按照傳統(tǒng)方式安放并執(zhí)行shellcode，在用戶態(tài)進程如system_server中，執(zhí)行完全可控的任意代碼變成了一件幾乎不可能的事情。

為了打破這一壁壘，繞過用戶態(tài)的防護措施來實現(xiàn)提權，我們研究并實現(xiàn)了一種全新的用戶態(tài)進程攻擊方法，通過借助JavaVM解釋器來執(zhí)行惡意Java字節(jié)碼。與以往的通過執(zhí)行本地代碼來實現(xiàn)提權的方式不同，由于Java字節(jié)碼是以數(shù)據的形式存放，依靠Java的解釋執(zhí)行機制便不再需要可執(zhí)行內存了，這就打破了目前SELinux防護策略的封堵。

同時，我們也會介紹一個C0RE Team率先發(fā)現(xiàn)的Binder漏洞。這個漏洞源于內核，受影響的是用戶態(tài)進程。它可以被惡意APP用來攻擊任意能通過Binder與之交互的系統(tǒng)服務進程。我們將會利用這個漏洞演示如何控制PC，并利用前述繞過技術在system_server進程中執(zhí)行惡意代碼。

演講嘉賓介紹

張弛是奇虎360 C0RE Team的一名安全研究員，他主要從事安卓框架層的漏洞挖掘與利用。

韓洪立是奇虎360 C0RE Team的一名安全研究員，他專注于安卓操作系統(tǒng)以及Linux內核的安全研究。在過去的幾年里，他向谷歌、高通、英偉達、華為等廠商上報了數(shù)十個致命/高危漏洞，并得到了公開的致謝。

舉例XNU中的引用計數(shù)問題

招啟汛

議題概要

XNU對很多內核對象使用引用計數(shù)機制進行生命周期管理，我會簡單介紹該機制，對應的mitigation以及兩個我發(fā)現(xiàn)的具體漏洞例子。

第一個是我在天府杯2018遠程越獄項目中使用的內核提權漏洞(CVE-2019-6225)。我將會詳細講解這個漏洞的發(fā)現(xiàn)過程，root cause以及如何利用它 取得tfp0。

第二個是在iOS 12.2中修復的另一個類引用計數(shù)漏洞CVE-2019-8528。 這兩個漏洞都是沙盒內可以直接調用的內核漏洞，危害性巨大。

演講嘉賓介紹

招啟汛（@S0rryMybad）是奇虎360Vulcan團隊的安全研究員，主要專注于瀏覽器及macOS/iOS系統(tǒng)。

他在Pwn2Own 2017/Mobile Pwn2Own 2017中攻破了Safari瀏覽器。

他在2018年天府杯中攻破了Edge/Chrome/Safari以及iPhoneX設備的遠程越獄，并贏得了最佳個人大獎。

他在微軟的MSRC2018最佳研究員中排名23。

新一代移動網絡和基帶的崛起

Marco Grassi

議題概要

過去的一年中有許多關于新的無線電技術的討論，例如5G技術。

本議題會關注智能手機的基帶以及相關領域的技術，闡述它們對智能手機、IoT設備、汽車及一些關鍵基礎設施的影響。

我們會重點分析iPhone手機上全新使用的Intel基帶并預言未來基帶的發(fā)展方向。

演講嘉賓介紹

Marco Grassi(@marcograss) 是騰訊科恩實驗室的一名高級研究員。他所在的隊伍贏得了Mobile Pwn2Own 2016的"Mobile Master of Pwn"。他也在同年的Pwn2Own 2016比賽中貢獻了針對Safari到root權限的破解。在Pwn2Own 2017比賽中，他發(fā)現(xiàn)了VMWare逃逸的漏洞。在Mobile Pwn2Own 2017的比賽中，他參與了基帶及iOS Wifi項目的破解，并第三次贏得"Master Of Pwn"。他在許多國際會議上發(fā)表過演講，包括Black Hat美國，DEF CON，Infiltrate，CanSecWest，ZeroNights，Codegate，HITB及ShakaCon。

灰燼中燃燒：基帶的童話故事

Guy

議題概要

如果你在平時使用的設備中發(fā)現(xiàn)了一個遠程可利用的漏洞，會發(fā)生什么？

如果這個漏洞存在于設備中的重要通信芯片，會發(fā)生什么？

基帶研究有著較高的準入門檻，因此阻擋了一些資金充裕的研究機構外的人們。

與此同時，基帶研究的公開信息仍然不多，許多研究者還不知道基帶研究其實并不是火箭技術那么高大上。

雖然沒有太多的公開信息，在過去的一年中有一些可以通過空中觸發(fā)的可利用漏洞被發(fā)現(xiàn)并修補。我會在演講中分享我的經驗方法，如何分析這些漏洞的成因。

演講嘉賓介紹

Guy(@shiftreduce)是一位獨立安全研究者，專注于底層安全研究。

然而他并不一直逆向嵌入式設備，他通常會玩塞爾達，任天堂明星大亂斗，然后給女朋友做一些很可愛的禮物。

暢游EL3：終極提權之旅

聞觀行

議題概要

目前大部分使用了ARM芯片的移動設備都部署了TrustZone。最常見的TrustZone模型下，設備會被劃分成四級特權(EL0-EL3)，以及可信和不可信區(qū)域(secure/non-secure)。這樣劃分結果使得，即便擁有不可信區(qū)域NS-EL1的操作系統(tǒng)內核權限，仍然無法訪問全部內存和外設，很多功能仍被可信區(qū)域所阻攔(隱藏)。此前很多關于TrustZone的安全研究已經取得過，運行于S-EL0的應用(TA)和運行于S-EL1的內核(TEE Kernel)的執(zhí)行權限。但鮮有人關注Android手機EL3這一層的安全問題。

本議題會帶聽眾從NS-EL1開始，進行為期一小時的EL3深度游，內容包括：

EL3和兩個區(qū)域的邏輯關系；攻擊面以及如何找到一個可利用的漏洞 (去年7月已修復)；如何一步步利用該漏洞取得EL3的執(zhí)行權限；最后通過一個例子說明EL3的特權之特。

演講嘉賓介紹

聞觀行是盤古實驗室的安全研究員，他目前關注的是安卓底層的漏洞分析和利用。他之前在Infiltrate，Black Hat，44con等安全會議發(fā)表過議題。

一些JSC的故事

Luca

議題概要

隨著不斷加強的溢出緩解機制，針對iOS系統(tǒng)的遠程漏洞攻擊面也在迅速變化。本議題首先會介紹一個老的Webkit漏洞來展示某一類問題，并分析最新的緩解機制對漏洞利用的影響。隨后會介紹一個JSC引擎中的高質量漏洞，并且演示如何繞過當前所有的漏洞緩解機制來利用該漏洞。

演講嘉賓介紹

Luca（@qwertyoruiopz）是一位來自意大利的安全研究人員，他年輕而富有天賦，喜歡破解各種設備。他在去年發(fā)布了針對iOS 10.2的越獄 Yalu，并且完全繞過了KPP防護。他曾經破解過iPhone，PS4以及任天堂的Switch。