從系統核心到底層晶片 你關注的移動安全問題這屆MOSEC上都有

11月4日，由奇安盤古（盤古實驗室）和韓國POC主辦的2022MOSEC移動安全技術峰會在上海隆重舉行。作為國內極負盛名的移動安全盛會，本次大會吸引到了數百名來自移動安全領域的頂級白帽駭客以及行業專家，圍繞iOS、Android、車載娛樂系統以及SoC晶片等移動端軟硬體的漏洞挖掘、漏洞利用以及安全防護等話題，為業界奉獻了一場饕餮盛宴。

奇安信集團總裁吳雲坤在致辭中表示，MOSEC從2015創立以來，一直堅持聚焦移動安全、專注於前沿技術，吸引聚集二進位制漏洞攻防領域的頂級專家還有他們的頂級成果和智慧，為移動安全領域的技術發展做出了貢獻。

“三人行必有我師。”POCSEC CEO JinWook在致辭中說，作為最棒的移動安全盛會，MOSEC舉辦八年來，吸引了大量優秀的安全從業人員發表了許多優秀的成果，希望所有參會者都能從中有所收穫。

模糊測試框架——探測無處不在的攻擊面

作為蘋果手機無線網路的重要模組之一，Apple 80211 Wi-Fi子系統的攻擊面分佈在作業系統的各個角落——從使用者態守護程式到作業系統網路協議棧，再到各類核心擴充套件程式，這使得攻擊者能夠從四面八方對其發動攻擊。“能否將模糊測試系統整合起來並協同工作極為重要，而這促使我設計了一套全新的模糊測試框架。”杭州藪貓科技聯合創始人、CEO王宇說，搭建遠端核心除錯環境能幫助快速的定位和分析漏洞成因。這套框架可以幫助研究員系統的對攻擊面進行安全測試，從而發現其中的漏洞等安全風險。

值得注意的是，作為這套框架的重要成果，王宇現場分享了他挖掘的超過十個零日漏洞，充分展示了這套框架的實際應用價值。

白帽子的終極夢想——漏洞的批次挖掘

“漏洞研究者的一個終極夢想是，輸入目標手機的型號版本，就可以自動挖掘獲取它的0day漏洞。”獬豸安全實驗室負責人、高階總監Flanker將所有白帽子的終極夢想一語道破。為了實現這個目標，Flanker分享了他的研究成果Java程式分析引擎，包括指標分析、跨過程汙點分析等多個模組。使用該系統，Flanker挖掘到了數十個主流廠商系統中的高危漏洞。“雖然目前還存在著這樣那樣的限制，但技術的進步仍然能讓我們不斷逼近我們的終極夢想。”Flanker說到。

安全進階——核心奧秘的探究

作為iOS作業系統的核心，XNU歷來都受到開發人員和安全研究員的關注。而Mach IPC作為XNU中Mach子系統最核心的模組之一，iOS上程式間以及程式與核心間絕大多數通訊都經由Mach IPC完成。

“在對Mach IPC研究的過程中，我們發現了一些漏洞。”崑崙實驗室安全研究員Brightiup介紹說，鎖是XNU物件管理中很重要的一點，時機和位置不對都容易引入安全問題，及時關注新增加的程式碼對研究者也十分重要。Brightiup表示，在去年MOSEC期間發表的port型別混淆漏洞的基礎上進一步研究，又發現了多個透過條件競爭觸發的型別混淆漏洞。隨後，Brightiup透過引入更多的相關物件和功能（turnstile,knote,workloop等），逐步增加了審計的範圍後，又發現了不少UAF類的漏洞，包括在最新的iOS 16.1中被修復的一個漏洞。

來自奇點實驗室的兩位安全研究員劉深榮、劉鵬舉則將目光放在了微核心上。與Linux、Unix等傳統單核心不同的是，微核心儘可能簡化了自身的功能，主要負責不同模組之間請求的傳遞。

劉深榮、劉鵬舉詳細介紹了一款嵌入式的微核心作業系統幾大特性，包括基於NameSpace實現的元件隔離機制，使用者態檔案系統，微核心中的虛擬記憶體管理實現，以及應用沙箱的設計。

當然作為安全研究員，劉深榮、劉鵬舉更關心的還是安全性。據介紹，為了更方便的對其核心進行模糊測試，劉深榮、劉鵬舉選取了Syzkaller引擎對其進行了適配，透過對其增加了覆蓋率反饋相關的實現以及Syscall支援，可以使其較好的支援Syzkaller進行模糊測試，並發現多個核心安全漏洞，並且講解了漏洞的利用技巧。

晶片級漏洞——億萬手機的達摩克利斯之劍

作為全球最大的無晶圓廠半導體供應商之一，聯發科在移動終端、智慧家居應用、無線連線技術及物聯網產品等市場位居領先地位，同時是目前全球智慧手機晶片市場佔有率最高的廠商，旗下MTK晶片被億萬手機和IoT裝置使用。

盤古實驗室安全研究員張雪雯的議題便與MTK晶片相關。據她介紹，在晶片韌體裡，安全啟動信任鏈是保證裝置安全性至關重要的一個環節，一旦安全啟動被攻破，後續的安全防護都將失去意義。

值得注意的是，如果漏洞位於BootRom（寫死在晶片）中，鑑於該區域的只讀屬性，這就意味著它不像軟體漏洞一樣可以能透過軟體更新手段進行修復，進而永久存在於晶片中，可以說是懸在億萬手機和物聯網裝置頭上的達摩克利斯之劍。2019年9月末，蘋果手機A系列晶片中被曝出存在BootRom的漏洞。

張雪雯透過若干漏洞例項，詳解了BootRom漏洞成因、利用方式以及如何透過攻擊BootRom來擊潰 MTK 的安全啟動鏈，從而達到控制整個手機作業系統的目的。

車載娛樂——駭客也狂歡

除了手機以外，各類物聯網裝置也頗受極客們的青睞，電動汽車便是其中之一。近些年，電動車已然成為全球最具發展潛力的行業之一，並且受到網際網路造車概念的影響，大批新興的電動車製造商紛紛入市，與傳統車企展開了同臺競技。

其中作為車企之間競爭的焦點之一，車載娛樂系統已經成為提升消費者駕車體驗的重要環節，幾乎每個廠家都爭先恐後地為自己旗下電車配備自動駕駛、OTA、語音助手、導航、線上音樂電影等功能。

與此同時，車載娛樂系統的安全性卻參差不齊。今年上半年，大眾和奧迪幾款車型的車載資訊娛樂系統被曝存在多個漏洞，攻擊者可以透過車載娛樂系統開啟或關閉麥克風，監聽司機正在進行的談話、訪問車主個人隱私資訊以及車輛定位資訊等。

據盤古實驗室的安全研究員聞觀行介紹，2021年入手的第一輛電動汽車，激發了他對於車載娛樂系統的興趣。在近一年的時間裡，聞觀行找到了一條完整的漏洞利用鏈條來取得車載娛樂系統的完全控制許可權。此外，聞觀行還分享了獲取許可權後可以做到的一些功能演示，包括如何控制門窗、開啟除錯、跟子系統通訊等。

同時,作為歷屆MOSEC的重頭戲，BaiJiuCon每年都吸引到眾多嘉賓的積極參與。安全就酒，越喝越有，與會嘉賓只要喝一杯白酒，就有機會獲得一定時間的演講機會。

MOSEC移動安全技術峰會自2015年在國內首次舉辦以來,立足於高質量的安全技術,致力於分享移動安全領域前沿性的技術議題及發展趨勢。因高質量的安全技術分享,每年大會都贏得與會者及業內一致好評,目前已經成長為國內安全技術峰會的重要風向標,吸引全球最頂尖的網路安全專家和白帽子駭客前來參會。