MOSEC 2021:远程破解安全机制分分钟完成控制,移动终端安全如何防护?

MOSEC 2021在上海举行。

7月30日,由盘古实验室和韩国POC主办的2021MOSEC移动安全技术峰会在上海举行,会议主要围绕iOS、Android等主流移动操作系统的漏洞挖掘、漏洞利用以及安全防护等话题。

由于移动终端更多涉及个人信息,其隐私性更强,安全防护面临诸多新的问题,频繁曝出的芯片、iOS、安卓系统漏洞严重威胁着移动安全。因此,加强对移动安全领域的关注,提高移动终端的安全等级很有必要。

MOSEC2021涉及的细分领域也更加广泛,从操作系统内核安全、浏览器内核安全、iOS安全、Android安全、5G通信安全、芯片安全等多个维度展示相关漏洞的原理、危害以及防护方法。

在去年iOS14发布不久之后,谷歌安全团队(Googleprojectzero)披露了第一个针对iOS内核的0day(漏洞编号CVE-2020-27932)在野利用行为,该漏洞利用了iOS内核的类型混淆问题,获取特权从而执行攻击代码。

对此盘古实验室联合创始人王铁磊在演讲中表示,这个漏洞本身并不会造成危害,但这个漏洞在不同的利用思路下,能够进一步触发其他内核内存错误漏洞,包括释放后使用(UAF)、溢出(overflow)和越界访问(out-of-boundsaccess),造成任意代码执行等危害,可谓是漏洞圈里的‘变形金刚’。

另外,赛博昆仑资深研究员招啟汛也针对iOS系统详细介绍了PAC的原理和机制,并且展示了如何利用远程代码执行漏洞绕过PAC保护机制,获取应用程序进程的任意代码执行权限。

而在面对使用度更为广泛的安卓系统时,盘古实验室的slipper和360AlphaLab韩洪立等多名安全研究员,在两个不同的议题中,给出了类似的结论。尽管作为市面上使用最广泛的移动操作系统,安卓拥有大量的定制开发版本,但攻击者一旦掌握底层系统漏洞,就可能在短时间攻破大量手机。

其中韩洪立还强调,Binder中的安全问题会将沙箱逃逸、Root、通杀这几大属性融为一体,使其拥有了与生俱来的强大威力,因此我们也将Binder漏洞称为安卓系统的阿喀琉斯之踵。

有意思的是,BaiJiuCon活动作为历届MOSEC的重头戏,参与嘉宾只要喝一杯白酒,就有机会获得一定的演讲时间。

作为新兴的创业公司,赛博昆仑在今年3月份完成种子轮融资,投资方包括红杉资本中国、真格基金。在接受蓝鲸财经采访时赛博昆仑CEO郑文彬也表示,公司与业内企业在技术团队、产品层面有所合作,同时与其他产业公司也会通过共同研发产品等方式去整合双方研发能力。

此次会议中,盘古实验室与赛博昆仑达成战略合作,双方将在漏洞挖掘、高级威胁防护等领域展开全方位的合作。(蓝鲸上市公司 徐晓春)

相关阅读
工信部网络安全威胁和漏洞信息共享平台上线,包括APP产品及车联网安全漏洞专业库等
《漏洞2》今日开启预售,全新解读三年网络安全产业变化
被点名后关闭弹窗广告,PC端广告收入占比超七成的360如何拓宽营收?
工信部、网信办和公安部发布网络产品安全漏洞管理规定,自2021年9月1日起施行