MOSEC 2018 | 第四届MOSEC完美收官，干货议题都在这里！

2018年6月22日，黄浦江边，第四届MOSEC移动安全技术峰会顺利举办。来自全球的安全专家相约上海，给参会者带来一场炫酷的技术视听盛宴。

　　今年的MOSEC移动安全技术峰会吸引了世界顶级的优秀黑客，有本土的360 Vulcan Team，也有来自美国，英国，阿联酋，塞内加尔等地的高手。议题涵盖iOS内核调试，基带漏洞挖掘与利用，Google Play上最大恶意样本家族揭秘，移动浏览器远程执行漏洞，Android堆分配原理等方向。

　　议题

　　1、手机浏览器中的远程代码执行 - Mobile Pwn2Own实例分享

　　来自@360Vulcan 的安全研究员古河、招啟汛分享了议题《手机浏览器中的远程代码执行 - Mobile Pwn2Own实例分享》。该议题主要介绍了在2017年Mobile Pwn2Own比赛中利用的浏览器漏洞，包括Safari DOM漏洞，Safari JIT漏洞等。除了漏洞利用技巧本身，还详细介绍了Safari和Chrome JIT漏洞的挖掘思路及调试方法。此外，此次MOSEC，360Vulcan Team准备了一个彩蛋，在MOSEC现场演示了iOS REMOTE Jailbreak demo，实现了iOS 11.4正式版及iOS 12.0 beta版本的越狱。

　　2、两个Malloc的故事：Android libc内存分配器

　　来自NSO group的研究人员Shmarya Rubenstein分享了议题《两个Malloc的故事：Android libc内存分配器》。dlmalloc和jemalloc是Android用户空间使用的两个内存管理器，Shmarya详细分析了两种malloc的实现，深入分配和释放的算法，数据结构的相关细节，讲解中还附带提供了几个堆内存可视化的调试器插件。最后他介绍了如何利用堆分配器控制内存布局，并以堆缓冲区溢出为例讲解具体应用。

　　3、构造你自己的iOS内核调试器

　　来自Google Project Zero团队的Ian Beer分享了议题《构造你自己的iOS内核调试器》。lldb调ios内核应该是每个研究人员的梦想了，Ian beer通过一个内核任意读写漏洞，开启了本来深藏于内核中的硬件断点，每个syscall进入前会陷入他的代码，修改系统寄存器，开启调试。他现场展示了iPhone 6s的调试，从arm手册的异常寄存器讲起，还对比大家熟知的x86架构，深入每个细节，一秒都不能错过。

　　4、Shannon之旅 - Pwn2Own基带漏洞利用

　　来自塞内加尔的独立安全研究员AmatCama分享了议题《Shannon之旅 - Pwn2Own基带漏洞利用》。基带的漏洞甚是罕见，虽然价值很高，但触发方式和准备条件着实复杂。塞内加尔的研究员展示了他在pwn2own上攻破三星基带前的准备，如何dump固件，加载分析，以及找到深层次的漏洞。最后他演示了利用漏洞取得基带的权限并借助rfs特性向文件系统写入了一个任意文件。最后提问环节是今天所有演讲里最活跃的，看来很多人要拿基带开刀了。

　　5、Bread: 接踵而来的短信诈骗

　　Android系统一直是恶意软件的重灾区，即便有Google Play的监控保护，很多短信吸费软件仍然猖獗不灭。来自google的安全研究员Alec Guertin分享了议题《Bread: 接踵而来的短信诈骗》。他长期监控短信吸费软件的动向，这些软件明目张胆的已经很少，至少会采用一个按钮点击事件来对抗自动化检测。此外，采用JavascriptInterface过native代码隐藏行为的软件也比比皆是。最后他展示了该恶意软件全球监控的结果，及攻击方和被攻击方的分布。

　　6、粉碎栈：LTE智能手机的安全性

　　来自阿联酋安全公司DarkMatter的两位安全研究人员Arthur Garipov和ChaoukiKasmi分享了议题《粉碎栈：LTE智能手机的安全性》。两位演讲者今天确实带了不少货过来，特意强调不能拍照录像。他们对比了市面上几乎所有openbts类的项目，以及大多数sdr和sim模拟硬件，几乎每种情况他们都说了优劣。最后讲了他们搭建的test bed，为了后面的安全测试，稳定是必须的，不然会浪费很多时间在噪音的分析上。最后他们说了对baseband和enode，LTE stack的fuzzing结果，由于RD的限制，很多成果不方便公开，后续会在其博客中介绍相关技术细节。

　　7、回顾苹果的iBoot

　　有12年的从业经验的Xerub在MOSEC分享了议题《回顾苹果的iBoot》。iboot的漏洞很少人提及，这种漏洞实在太过宝贵，Xerub从iboot在安全启动的地位说起，dump iboot，分析，找洞。由于攻击面比较少，Xerub更改了HFS+文件系统，加入类似特长路径，引发超长递归，导致iboot发生栈溢出。由于没有aslr dep的保护，很容易构造代码执行。iboot的代码执行就厉害了，类似android的bootloader解锁，可以加载任意内核，获取秘钥等。为了调试iboot，Xerub还特意写了iloader用来模拟执行iboot，据说会在xerub.github.io放出来。

　　彩蛋

　　1、BaiJiuCon

　　今年的MOSEC新增加了一个BaiJiuCon环节，参会者和主持人畅饮一杯白酒即可分享自己的研究成果。我有茅台，你有黑科技吗?

　　古师父和他的史诗级EOS漏洞

　　手握千万0day的古师父听说了BaijiuCon完全按捺不住自己，第一时间就报了名，上台就把一杯茅台一饮而尽。

　　前段时间，来自360Vulcan团队的古师父发现了区块链平台EOS的一系列高危安全漏洞，黑客可以利用漏洞掌握EOS网络所有节点，控制虚拟货币交易。币圈人民的经济命脉完全掌握在这个手无寸铁却可以对抗世界的神一般的男子手中。

　　科恩实验室关于CVE-2017-7162的那些事

　　仿佛沉醉于茅台酒香的陈良，连喝了两杯。在过去的几年里，科恩实验室在安全领域也取得了很多成果，在去年的MOSEC上也现场演示了iOS越狱成果。

　　他在BaiJiuCon上分享了科恩实验室发现的用来参加Mobile Pwn2Own 2017的漏洞 —— CVE-2017-7162。该漏洞可让攻击者使用内核权限执行任意代码，具有非常强的破坏性。

　　Janus，ZipperDown漏洞只是起点

　　自带儒雅气质的唐老师也在BaiJiuCon分享了一些研究成果。Janus在上线的这一年多时间里，积累了丰富的应用样本，也为广大用户提供了多种在线分析功能，基于行为及特征的检测功能也逐渐输出一些颇具价值的情报。

　　此前，盘古实验室基于Janus平台发现了疑似影响近万iOS应用的ZipperDown漏洞，用户在不安全WiFi环境里使用应用;攻击者利用该漏洞获取了应用中任意代码执行能力。移动安全生态环境复杂，单纯依托于特征检测早已不能适应当前的应用环境，ZipperDown漏洞只是起点。未来，依靠Janus平台的强大能力，会持续输出更多的安全情报。

　　当教授已经赶不上安全行业发展的李康院长

　　360 IoT 研究院院长李康教授喝了杯茅台就开始吐露心声。曾为大学教授的他本可以安心教学，可是全世界的黑客不给他机会，于是他加入了360团队，当起了院长。