请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 加固保客服003 于 2024-8-8 15:35 编辑
2024年8月1号,由三六零天御承办的ISC.AI 2024移动智能业务安全技术论坛在北京国家会议中心成功召开。三六零天御移动安全事业部技术负责人霍亮出席并发表《Android系统调用Hook的攻防研究》主题演讲。

360社区

360社区

三六零天御移动安全事业部技术负责人霍亮

数智化时代的发展带来了无数便利,但也带来了不可忽视的风险。黑灰产业链的不断演进,持续挑战企业和个人的信息安全。在这个动态变化的威胁环境中,三六零天御时刻站在移业务用安全的最前沿,不断深入探索最新的威胁和漏洞,坚持以技术创新为驱动,全面对黑灰产攻击手法进行剖析,从系统底层加强安全防护强度,通过快速更新和产品迭代,确保及时响应新威胁并提供最优解决方案,帮助客户在数智化转型的过程中保持安全和稳定。

本次演讲首先以视频形式向大家演示了,攻击者在分身环境下加载Xposed模块,拦截抖音摄像头调用逻辑,替换直播内容为本地视频并循环播放,最终完成获利。

视频链接:http://beijing.obs.zyuncs.com/jiagufile/lv_0_20240701171158.mp4

如果拦截摄像头技术被恶意利用的话,攻击者甚至可以拦截金融软件的人脸认证业务。在该场景下,攻击者拦截真实摄像头,替换成伪造的视频,实现盗刷的目的,严重侵害了个人的财产安全。另外,分身框架的滥用还可以实现更多的目的。

360社区

360社区


针对分身框架的滥用的情况,霍亮为我们介绍了分身框架的防护方案,进而引出本次演讲的重点——Seccomp-BPF的原理和防护。

360社区

360社区


分身软件的基本防护包括利用私有路径隔离特性。正常应用和分身应用在运行时生成不同的私有路径,分身应用无法访问正常应用的私有路径。通过系统调用OPEN来检测环境,正常应用能成功打开私有路径,而分身环境则不能,但攻击者可以通过Hook OPEN来欺骗检测。

攻击者可通过Hook系统调用来绕过防护措施,如修改路径参数等。但传统的Hook手段比较容易被检测到。进而提出了Seccomp-BPF的系统调用Hook方案。Seccomp-BPF是Linux内核提供的一种能够监控和拦截系统调用的安全机制,但该技术也能被攻击者利用。为了对抗这种方式提出了一种新的防护方案,即父进程通过监控子进程执行结果来判断环境的是否正常。

360社区

360社区


整个防护过程中还涉及到ptrace和execl的使用,通过状态和errno值来识别异常环境。为了应对攻击,防护策略需要不断更新、优化和迭代,以确保产品的安全性和良好的用户体验,三六零天御始终坚持如此。

霍亮表示,三六零天御除了安全加固、安全检测、隐私合规检测等移动应用安全产品之外,还提供360零信任安全办公平台等针对企业移动业务安全的能力输出和产品解决方案,保障企业在移动办公环境中的数据安全,助力企业移动数智化健康发展。


共 0 个关于探索移动业务安全边界,分身环境下人脸识别的安全挑战|Android系统调用Hook...的回复 最后回复于 2024-8-8 15:35

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

加固保客服003 产品答疑师

粉丝:1 关注:0 积分:2426

精华:6 金币:4773 经验:1767

IP属地: 未知

最后登录时间:2024-12-6

私信 加好友

最新活动

【体验评审官第二期】参与投票,抽取京东卡

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表