如何构造自己的iOS内核调试器？这里有份MOSEC 2018剧透

2018 年 5 月 30 日 宅客频道

致力于分享移动安全领域前沿性的技术议题及发展趋势，覆盖iOS、Android、Windows三大移动平台的MOSEC 移动安全技术峰会要来了。

MOSEC移动安全技术峰会始办于2015年，由盘古团队和POC主办，至今已成功举办三届。第四届 MOSEC 移动安全技术峰会将于2018年6月22日（周五）在上海万达瑞华酒店举行。来自全球的优秀互联网安全专家以及众多神秘重量级演讲嘉宾将再次聚首上海，向世界分享最新安全研究成果。

日程安排

议题介绍

构造你自己的iOS内核调试器

演讲嘉宾：Ian Beer

Ian Beer在Google的Project Zero团队从事漏洞挖掘与利用的相关研究。

议题概要

Ian Beer会在这次议题中介绍如何针对零售版的iOS设备开发一个内核调试器。议题的内容会涵盖ARM64底层在XNU中的异常处理，KDP远程调试的协议以及如何在不修改内核代码的前提下打造一个支持设置断点的本地内核调试器。

Shannon之旅 - Pwn2Own基带漏洞利用

演讲嘉宾：Amat Cama

Amat是在塞内加尔的一名独立安全研究员。他曾经在UCSB、高通、长亭科技从事安全研究工作。2016年他在Geekpwn上海演示了针对CSGO和DOTA2的游戏引擎的远程攻击，并进入名人堂。2017年他在Mobile Pwn2Own东京的比赛中成功演示针对三星S8手机的基带攻击。他也是一名CTF爱好者。

议题概要

在过去10年中移动设备变得越来越复杂。如今的手机中有许多嵌入式芯片用来处理Wifi，蓝牙以及蜂窝通信。这些芯片都运行了对应的固件，而这些固件往往没有经过严格的安全测试，容易受到攻击。本议题会主要介绍三星的Shannon基带以及我如何成功在Mobile Pwn2Own 2017中攻破该基带。
首先，我们会从安全研究的角度出发介绍一下蜂窝技术（GSM，3G，4G）。随后我们会深入分析Shannon基带并展示如何发现有漏洞的代码。最后我们讨论如何利用其中的一个漏洞。

粉碎栈：LTE智能手机的安全性

演讲嘉宾： Arthur Garipov&Chaouki Kasmi

Arthur Garipov和Chaouki Kasmi是移动和电信实验室的安全研究员，DarkMatter LLC。

Arthur在3年的SCADA / ICS相关工作经验后，在Positive Technologies的2年时间主要研究DPI和电信领域。他在无线安全和嵌入式设备方面的工作成果已在多个会议上发表。

Chaouki在法国网络和信息安全局的无线安全实验室工作了8年，担任电磁和无线安全研究员。在过去的8年中，他在国内和国际会议上发表了70多篇论文，并获得多个奖项。他是2016年以来HPEM生活高功率电磁社区的成员 - Summa基金会。

议题概要

出于对移动通信安全的考虑，电信网络和架构也在不断改进。目前5G技术仍处于标准化阶段， 3G协议已经解决了2G协议中的认证和机密性问题，而3GPP第8版中定义的4G和LTE标准增加了新的安全机制，这也是移动网络的最新一次安全升级。然而，由于设备仍然暴露于IMSI捕获器和相关攻击以及对2G网络的向下兼容性，因此安全和隐私问题在移动网络中依然存在。许多研究致力于分析2G，3G和4G网络的安全性，这要归功于活跃的开源社区。从针对GSM的OpenBTS [1]项目到4G协议的eNodeB和核心网络组件，在智能手机基带或网络组件（例如蜂窝网络）中实现的协议栈中发现了多个漏洞。有趣的是，一个完全用Python实现的开源解决方案，即Pycrate [2]，已经证明对于检测基带中的漏洞非常有效[3]。测试移动设备的设置是Pycrate与eNodeB的开源实现或商业实现（Amarisoft [4]）的结合。有趣的漏洞已经被发现。

在移动和电信实验室研究活动的框架内，已决定建立一个专用测试平台来测试各制造商的基带。该测试平台由OpenAirInterface [5] / OpenLTE [6]与Pycrate以及特定插件组合而成。该插件的开发目的是为了能够通过核心网络制作并发送特定的消息，这些消息将由eNodeB提供给目标设备。一些已知漏洞已能被该测试平台重现。其中一个例子是DEFCON 2016期间提出的LTE DoS /重定向[7]。在演讲中，我们将演示如何配置Pycrate并将其与开源eNodeB连接。并将描述插件的设计和实现。最后，我们就讨论植入的消息以及测试过程发现的漏洞。并将更多结果展示给观众。

手机浏览器中的远程代码执行 - Mobile Pwn2Own实例分享

演讲嘉宾：郝力男&刘龙&招啟汛

郝力男(@holynop)在Qihoo 360 Vulcan Team从事漏洞相关研究。随团队参加pwn2own 2015/2016/2017/pwnfest 2016/mobile pwn2own 2017，参与过一些微软的赏金计划Microsoft Mitigation Bypass Bounty, Microsoft Edge Bounty, MSRC Top 100 2015/2016/2017等，曾在一些安全会议上发表文章如Blackhat/44CON/HITB等。

刘龙是360Vulcan团队的安全研究员，从事漏洞挖掘和利用方面的工作。他参加了Pwn2Own 2017和Mobile Pwn2Own 2017，并成功挑战了相关项目。他连续三年入选MSRC Top 20名单。

招啟汛是奇虎360 Vulcan Team的成员，微博ID是@老实敦厚的大宝。专注于各个主流浏览器安全和macOS/iOS系统安全,沙箱逃逸。曾参加Pwn2Own 2017和Mobile Pwn2Own 2017攻破浏览器项目。多次攻破Edge浏览器获得RCE并取得微软Edge CVE公开致谢,在MSRC 2017中排名43。多次攻破Chrome浏览器获得RCE并取得谷歌Chromium CVE公开致谢。同时多次获得苹果CVE致谢,独立发现多个Safari RCE，苹果内核本地提权等漏洞。

议题概要

近年来，手机浏览器的安全问题一直是安全研究的焦点。大量的漏洞修补以及浏览器、操作系统层面的保护使得浏览器远程代码执行越来越难。在Mobile Pwn2Own 2017中，我们成功攻破了iPhone 7的Wifi和Mobile Safari项目。在这个议题中，我们将着重介绍我们为Mobile Pwn2Own 2017准备的（用上的和没用上的）浏览器远程执行漏洞，包括Webkit JIT漏洞，WebKit DOM漏洞，Chrome的JS引擎漏洞。我们会介绍漏洞相关原理，挖掘方法以及利用技巧。值得一提的是，我们用到了两个WebKit JIT引擎的漏洞。最近一年来，浏览器的JIT引擎漏洞受到越来越多的关注，我们也会针对相关内容做一些展开介绍。

作为一种通用的漏洞缓解（Exploit Mitigation）技术，隔离堆（Isolated Heap）已经成功运用于多个主流浏览器如Chrome、FireFox、Edge、IE等。2017年下半年我们注意到WebKit代码中也开始引入了隔离堆机制。WebKit中的隔离堆对于传统Exploit中的Heap Spray，UAF占位、任意地址读写等方面均造成了一定的影响。本议题中我们将会介绍WebKit隔离堆的基本原理，它对今后WebKit漏洞发掘和利用的影响，以及我们在Mobile Pwn2Own比赛前针对隔离堆机制实现的Exploit预案。

Bread: 接踵而来的短信诈骗

演讲嘉宾： Alec Guertin

Alec作为一名软件/逆向工程师为Google Play Protect工作。他的主要研究方向是如何检测针对Android系统的恶意软件。

议题概要

在2010年，FakePlayer是第一个被发现的针对Android系统的恶意样本，它会在用户不知情的情况下发送短信。8年后的今天，短信诈骗仍然是一种流行的方式来为恶意软件开发者带来收益。不过，随着保护和检测机制的不断加强，恶意软件开发者需要更多的努力来躲避检测。

本议题中我们会介绍Bread，这是Google Play Protect检测到的最庞大的恶意软件家族之一。我们会深入分析Bread的作者运用了哪些创新的技术来躲避检测并欺骗用户。其中的一些技术包括动态根据运行环境调整内容，伪造的隐私申明以及通过原生代码或者服务器的Javascript来发送短信。

两个Malloc的故事：Android libc内存分配器

演讲嘉宾： Shmarya

Shmarya作为一名攻防安全研究员已经工作了12多年。他曾经是思科的安全威胁分析和逆向工程中心的高级技术负责人，然后去了NSO集团作为一个攻防安全研究员。他是天生的黑客，其最大的乐趣是破解复杂的软件和硬件系统。他的工作涉猎到多个平台，专注于逆向工程，漏洞发现和漏洞利用开发，目前专注于嵌入式和移动平台。他在家里逆向多种架构和操作系统，以及焊接烙铁、示波器和逻辑分析仪。他为多个开源项目做出贡献，包括将Frida二进制测试框架移植到MIPS、ARM- Linux和ARM-QNX。他每天面对的挑战之一是在Android平台上创建稳定、通用的漏洞利用。

议题概要

Android的libc分配器使用两个malloc的实现之一：dlmalloc或jemalloc。本议题会探讨这些malloc的实现，深入了解其中每一个的相关细节，从而能准确理解它们是如何工作的。我们会讨论分配和释放内存的算法细节，以及每个分配器所使用的数据结构和元数据。此外我们还将讨论如何使用这些分配器在Android设备上执行堆布局并利用堆缓冲区溢出漏洞。本议题会以一个Android系统的堆破坏漏洞为例，来讲解如何利用堆分配器。

回顾苹果的iBoot

演讲嘉宾： Xerub

Xerub在信息安全领域有12年的从业经验。他白天研究防御技术，晚上研究攻击技术。擅长的领域包括逆向工程，恶意代码分析，模拟器以及iOS漏洞利用。