2023 SDC 議題搶先看
01 議題前瞻
深入Android可信應用漏洞挖掘
在過去的幾年中,可信執行環境(TEE,Trusted Execution Environment)在Android生態系統(智慧手機、智慧汽車、智慧電視等)中實現了普及。TEE 執行獨立、隔離的 TrustZone 作業系統,與 Android 並行,保證在Android系統淪陷的情況下使用者的核心敏感資料或者手機的核心安全策略仍然安全。
與Android系統中預置的系統級App一樣,TEE系統中也存在必要的應用(Trusted Application, 即TA)以承擔資料加密等安全策略的實現。2022下半年演講者對部分主流廠商的TA實現做了安全研究,目前已有60處漏洞被確認,包括但不限於指紋圖片提取、指紋鎖屏繞過、支付金鑰提取、提取使用者的明文密碼等嚴重漏洞。
在本次議題中,演講者將會介紹主流廠商的TEE環境中的TA實現以及常見的攻擊面並分享一些針對TA做安全研究的技巧與方法,比如如何儘可能快速的擁有一臺具備Root許可權的手機用於研究與測試。在研究過程中,演講者構建了一套模擬系統對這些TA進行模擬和Fuzzing,在本次議題中演講者也會介紹到如何實現這個模擬系統以及使用到的Fuzzing技術和部分調優策略。
02 演講嘉賓
李中權-啟明星辰ADLab移動安全專家
專注於Android、Apple、loT方面的漏洞挖掘與Fuzzing。曾多次發現Apple、華為、榮耀、三星、小米、OPPO、vivo、聯發科等主流廠商的高危漏洞,在天府杯上完成過產品破解。
聽眾收穫
1. 瞭解可信執行環境(TEE)在Android生態系統中的重要性和作用,以及其與Android系統的關係。
2. 瞭解主流廠商的TEE環境中的Trusted Application(TA)實現,並瞭解其在安全方面存在的漏洞。
3. 學習一些針對TA進行安全研究的技巧和方法,包括如何快速獲取具備Root許可權的手機用於研究和測試。
4. 瞭解如何構建模擬系統對TA進行模擬和Fuzzing,並學習相關的Fuzzing技術和調優策略。
5. 增強對Android生態系統中的安全問題的認識,提高對個人敏感資料和手機安全的保護意識。
6. 瞭解可信應用漏洞挖掘的重要性和挑戰,為相關安全研究和工作提供參考和啟發。
掃碼報名參會
更多議題細節,歡迎來 SDC 現場聆聽