小到入侵蘋果手錶、大到入侵飛機，MOSEC大會幹貨議題全記錄

新聞 06-25

可能每年的MOSEC大會上，普羅大眾翹首以盼的是盤古放出新的iOS越獄工具。在前不久的Janus發布會上，盤古就曾預告過iOS 10.3.1的越獄。這次由盤古主辦的MOSEC大會上，來自騰訊的科恩實驗室也在」One More Thing」中演示了新版iOS的越獄，甚至還有公布沒幾天的iOS 11開發者beta 2版的越獄。

當然，這不過是本屆MOSEC大會的其中一個小花絮，如果你也關注盤古一年一度的此次盛會，就往下仔細看看這場大會的乾貨吧——原本MOSEC也就是以乾貨著稱的。

今天的那些乾貨議題

這些天的上海已經變得非常悶熱，而且雨量豐沛，據說從全國各地趕來的與會者事先還在擔憂航班是否會被取消，也包括那些從國外來的演講嘉賓。昨天的這場MOSEC大會就在上海凱賓斯基大酒店舉行，這是盤古團隊與韓國PoC大會組織的第三屆MOSEC大會。

從第一屆MOSEC開始，主辦方便源源不斷地邀請移動安全領域的大牛發表演講，這些議題都來自他們的最新研究成果。因此關注移動安全的愛好者們自然不會錯過這樣一場盛會。這次的議題中有對產品、行業現存機制的反思，如Android應用簽名的枷鎖與革新、iOS系統溢出緩解機制，還有對大大小小新鮮事物的探索，小到入侵蘋果手錶、大到入侵飛機，這些精彩的議題讓在座的500多人都聽得入了神，整個會場座無虛席。

議題1：Android應用簽名的枷鎖與革新

首個議題的演講者是來自百度安全實驗室韋韜和張煜龍，他們為我們帶來的是一種Android應用簽名的一種更完善的機制。眾所周知，應用簽名是Android生態的基石，而在現有的機制下，Android應用簽名私鑰「不可遺失」，並且要遷移使用新的密鑰，難度非常大，但有時候遇到私鑰泄露、證書過期甚至以前標準中存在的弱摘要演算法時，我們不得不更換證書。

因此，研究員基於IDSIG提出一種簡單有效的解決方案。這種機制能夠支持既有的Android驗簽機制，並且支持證書更換和升級，私鑰泄露、證書過期等一系列問題得到緩解。更重要的是，不同於蘋果App Store，這種機制不會產生新的中心依賴，不會產生生態獨裁，而是採用了「生態聯防」的機制。

議題2：現代iOS系統溢出緩解機制

第二個議題來自Luca Todesco。Luca（@qwertyoruiopz）是一位來自義大利年僅20歲的安全研究人員，他在今年發布的針對iOS 10.2的越獄Yalu中完全繞過了KPP防護。在今天的演講中，他對iOS系統溢出環節機制的發展歷史進行了回顧，介紹了幾個機制，比如WatchTower和iPhone7中引入的AMCC （iPhone 7的硬體保護），他逐一講解了這些機制的有效性。演講中，他還介紹了未來將會引入的溢出緩解機制，例如控制流完整性（CFI）及其可能存在的問題。

在今天的整場會議中，Luca是最重量級的嘉賓之一，不少演講嘉賓們都致謝了Luca的研究，這對一個年僅20歲的少年來說顯然相當了不起。

議題3：天空之城－飛控安全攻防剖析

關於飛機安全的議題可能是第一次在MOSEC中出現，但這次的演講嘉賓相信大家都不陌生，她就是來自360UnicornTeam的張婉橋。

「飛機能不能像電玩一樣被自由控制？」從演講得出的結論來看是可能的。攻擊的方法可以分為網路攻擊和無線電攻擊，前者的難度較大，通過這種方法控制飛機的可能性十分渺茫，而無線電通信中存在的漏洞更多，飛機中所使用的各種無線電通信都可能產生安全問題，比如ADS-B攻擊、TCAS攻擊、GPS攻擊、ILS攻擊、通話注入攻擊等，但這取決于飛行員是否能夠察覺到攻擊。但是如果採用多種攻擊手段相結合，則很有可能造成災難性後果。

此外，研究員針對目前「黑飛」多次干擾正常民航飛機事件，詳細分析了市場上無人機通信鏈路的特徵，揭示無人機信號的指紋特點，提出了一套有效的無人機管控與打擊「黑飛」策略。

議題4：Pwning蘋果手錶

Max Bazaliy目前是Lookout公司的安全研究員，他在移動安全、協議分析、漏洞利用等方向上有超過10年的從業經驗。去年他主導了對Pegasus APT攻擊的樣本分析，這是首個針對iOS平台的APT攻擊。這次峰會他帶來的演講詳細介紹了針對蘋果手錶的攻擊，介紹watchOS的安全機制。

蘋果手錶使用的是修改版的32位iOS操作系統watchOS。其中包含一些重要的安全機制，例如代碼簽名、沙盒、內存保護等。儘管其中的過程一波三折，但Max還是一步步地從內核代碼讀取到沙盒繞過，內核隨機化地址繞過，內核任意代碼執行，最終在手錶上開啟SSH服務。

議題5：傷痕纍纍的Android Wi-Fi驅動 - 從本地提權到遠程攻擊

Android Wi-Fi驅動中曾經被發現大量root提權漏洞。但這些漏洞都是存在於WEXT(Wireless-Extensions)介面中的，WEXT是一種即將被淘汰的Wi-Fi配置介面。取而代之的是基於nl80211協議的cfg80211介面。

來自360 Alpha Team的陳豪介紹的是他們的團隊是如何在cfg80211驅動中發現大量提權漏洞的。其實大部分問題出現在NL80211_CMD_VENDOR這個廠商可以自定義的特殊命令中。其中往往其中包含一些漏洞，風險很大。另外，本議題還介紹了Wi-Fi驅動中存在的遠程攻擊入口，介紹如何利用Wi-Fi晶元中的漏洞實現內核級別的遠程代碼執行。研究人員所舉的例子是博通晶元中的漏洞。博通晶元中通道直接鏈路建立的代碼中memcpy變數處理不當就會導致內存溢出。

議題6：幻象之盒

隨著智能家居的興起，各種IoT設備成為了黑客的新目標，這些攻擊的獨特性之一在於，入侵相關設備之後，攻擊便有機會攻擊內網中的各種其他設備，危害程度可見一斑。很多大公司已經在開發針對IoT設備的安全解決方案。眾多解決方案中，一個主流形式是開發一個專門設備，接入其他IoT設備的網路進而對IoT設備進行保護。

來自Embedi的研究員Peter Kamensky則向我們展示了IoT防護方案的局限性。他所進行測試的是一台BitDefender Box。這台設備會對所有接入設備的網路請求進行過濾保證安全性。然而現實情況是，黑客可以使用各種各樣的方法繞過其檢驗機制，比如在已經獲取到root許可權的設備上關閉DHCP等。對黑客而言，這樣的專門設備無疑只是擴大了攻擊面，對用戶而言其實也只是營造了受保護的「幻象」。

議題7：iOS 10內核安全漫談

iOS 10在內核安全方面較之前的版本有了很大程度的改進。之前存在已久的一大批漏洞在iOS 10發行時被悄悄修復、對一些關鍵機制的更合理處理、加上漏洞利用緩解上改進，可以看出蘋果在iOS 10安全性加強上的努力。不僅如此，這些被強化的安全特性在之後的10.1-10.3.x的版本演化中得以鞏固和加強。

最後一位演講嘉賓，來自騰訊科恩實驗室的陳良分享了科恩實驗室在過去一年中對iOS內核安全的研究發現，從漏洞、機制、利用緩解三個方面漫談iOS內核安全。

彩蛋

與往年一樣，今年的MOSEC峰會也埋了一個重量級彩蛋，在陳良演講的結尾，他向我們展示了科恩實驗室研製的針對新版iOS平台的越獄工具。演示視頻中的三款設備分別是：

iPhone 6 (iOS 10.3.2)

iPhone 7 (iOS 11 developer beta 2)

iPhone 7 (iOS 10.3.2)

目前為止，這三個操作系統還沒有公開的越獄工具，尤其是iOS 11 developer beta 2是蘋果兩天前發布的。演示結束後，全場響起了熱烈的掌聲。只可惜我們不知後續是否會放出越獄工具。