在Zer0Con’21会议上，我们分享了一个XNU内核中的port类型混淆漏洞，并展示了如何利用该漏洞在M1芯片上macOS Big Sur系统中获取root权限。本议题中，我们将继续分析这个漏洞，讨论由它导致的巨大攻击面。我们将探讨如何基于这个类型混淆原语在iOS系统中，进一步触发其他内核内存错误漏洞，包括释放后使用（UAF）、溢出（overflow）和越界访问（out-of-bounds access），并分析如何绕过沙盒访问任意Mach服务。

王铁磊，盘古团队联合创始人，2011中国计算机学会优秀博士论文奖获得者，在信息安全学术领域四大顶会上发表论文多篇，6次入选BlackHat USA，在操作系统安全机制、软件安全漏洞自动化挖掘和攻防对抗等领域有坚实的工作积累。

安卓系统经过多年的发展，已拥有高达28亿的活跃用户，成为目前最主流的操作系统之一。安卓系统采用严格的权限分离模型，并从用户态到内核建立了层层防护来保护其安全。其中的Binder作为安卓系统最为广泛使用的进程间通信机制，是安卓系统既核心又特殊的模块，通过Binder可以搭建一条从沙箱直接通往内核的桥梁，这也引入了一些严重的安全问题。

Binder中的安全问题会将沙箱逃逸、ROOT、通杀这几大属性融为一体，使其拥有了与生俱来的强大威力。其中的漏洞也成为安卓系统的阿喀琉斯之踵，能够使其一击致命，因此一直以来也是安全研究的重点。

我们在这个模块中先后发现多个漏洞，其中的一些漏洞已被证实可以用于提权至ROOT或者System权限。本次议题，我们将要介绍的这枚Binder漏洞便融合了上述的强大能力，通过该漏洞最终实现了仅触发一次漏洞就完成了沙箱逃逸至ROOT，并结合了一个浏览器RCE漏洞实现了远程通杀ROOT。

韩洪立（@hexb1n）是360 Alpha Lab的一名安全研究员，他主要专注于安卓框架层及内核的漏洞挖掘与利用研究。他曾向谷歌、华为等厂商上报了近百个安卓手机中的安全问题，其中多个漏洞影响广泛，获谷歌公开漏洞致谢近五十次。”One of The Top Tier Researchers” in the Android VRP in 2020。他曾在BlackHat USA, HITB, MOSEC及QPSS上发表过相关的议题。

简容（@__R0ng）是360 Alpha Lab的一名安全研究员，专注于浏览器安全研究，挖掘多个Chrome高危漏洞，曾在“天府杯”2020国际网络安全大赛攻克Chrome项目。

王晓东（@d4gold4）是360 Alpha Lab的一名安全研究员。他发现了多个Linux内核中的漏洞。他参加了“天府杯”2020国际网络安全大赛，并攻克了CentOS项目。

周鹏（@bluecake）是360 Alpha Lab的一名安全研究员。他专注于内核的漏洞挖掘及利用研究，曾在BlackHat USA上发表过相关的议题。

蜂窝网络和基带安全一直是晦涩难懂、少经开拓的领域，直到近几年才出现了一些公开的安全研究。近几年，在中国大力发展 5G 通信的背景下，我们看到了 5G 的飞速扩展以及广阔的前景。

在本次演讲中，我们将分析并攻击现代 5G 智能手机中的调制解调器。我们使用的漏洞是能够远程触发的内存破坏问题，在没有用户交互的情况下影响手机的 5G 网络部分。我们还将展示在手机上有哪些漏洞缓解措施已启用，哪些未启用。最后分享我们在进行漏洞利用时遇到的困难，以及如何一一解决他们。

Marco Grassi (@marcograss) 是来自腾讯科恩实验室的高级安全研究员。他在2016年于日本东京举办的移动 Pwn2Own 大赛上，攻破 iOS 项目，与团队一起赢得了 “Mobile Master of Pwn” 的称号；在2016年桌面 Pwn2Own，他作为主要贡献者攻破了 Safari 浏览器，成功沙盒逃逸获得 root 权限；在2017年桌面 Pwn2Own，他完成了 VMware 虚拟机逃逸，同年的移动 Pwn2Own，他攻破了手机基带和 iOS wifi 项目，最终获得了那一年的 “Master Of Pwn” 称号，这是他们第三次获得此殊荣。他在多个国际安全会议上发表过演讲，包括 Black Hat USA，DEF CON，Infiltrate，CanSecWest，ZeroNights，Codegate，HITB 和 ShakaCon。

陈星宇 (@0xKira233) 是来自腾讯科恩实验室的安全研究员。他对漏洞挖掘充满热忱，现在主要专注于虚拟化和移动安全领域。他在云安全产品、底层固件和手机中发现多个严重安全问题。他同时作为 腾讯 eee 和 A*0*E 战队的 CTF 选手，参与了 DEF CON 25和26。他在 OffensiveCon，Zer0Con 和 Tensec 等会议上发表过技术演讲。

当消费者们被手机芯片中GPU的强劲性能吸引时，黑客们的注意力也开始聚焦在GPU之上。本议题中我们将分析Adreno和Mali这两款Android主流GPU内核驱动的最近修补的关于内存管理的逻辑漏洞，并深入探讨与之相关的一些无需适配的通用内核提权方案。

slipper 盘古实验室安全研究员，曾参加Pwn2Own、DEFCON CTF、GeekPWN和TianfuCup等黑客大赛，曾公开演示破解iPhone8、PlayStation4、Cisco ASA、Safari、Firefox、MacOS、Docker、Cent OS、Ubuntu、Adobe Reader。他平时还是一位CTF主播和Baijiucon主播。

PAC是苹果自A12芯片之后引入iPhone的一个硬件级mitigation。它的引入大大加强了iPhone的安全性, 至少在18年iPhone XS系列机型引入PAC后, iPhone再无在公开比赛中被攻破。

在天府杯2020上, 我们全球首次在公开比赛中攻破带有PAC保护措施的iPhone机型。

在本议题中, 首先会简单介绍PAC mitigation的原理和机制。 然后详细讲解我们在比赛中用到的RCE漏洞, 以及如何在Render进程取得任意地址读写后, 绕过PAC保护机制, 获得Render进程的任意远程代码执行。

招啟汛(@S0rryMybad)：北京赛博昆仑科技有限公司资深安全研究员，主要专注于浏览器和iOS系统安全以及相关的mitigation。

曾经在Pwn2Own/天府杯上攻破iPhone并实现远程越狱，攻破过Edge(EdgeHTML)/Chrome/Safari/Firefox各大主流浏览器，国内首位浏览器项目大满贯。是国内首位获得Pwnie Award奖项的安全研究员, MSRC 2019全球排名第2。

在天府杯2020上全球首次在公开比赛中攻破带有PAC保护措施的iPhone 11。

手机上电启动时，首先CPU会执行的是固化在芯片里的代码，然后CPU会跳到外存储上的代码实现逐级引导，直到运行主操作系统。芯片里固化的代码一般称为bootrom，它的漏洞会从源头上影响安全整个启动链。checkm8是这其中一个著名的案例，作为苹果bootrom的漏洞，它已然成为安全研究的天梯，让更多人藉此进入iOS领域探索。与此相仿，checkm30（checkmate30）议题要讨论的也是bootrom的漏洞，只不过目标对象是华为海思芯片的手机。

本议题会先介绍手机的安全启动流程，接着会依次讨论bootrom的运行环境、通信协议、漏洞成因和利用，最后会分享几个利用该漏洞实现的有趣案例：解锁bootloader，开启调试等。

闻观行是盘古实验室的安全研究员，曾经在Infiltrate, Black Hat EU, 44CON等安全会议发表过议题。他近几年安全研究偏向手机底层系统，包括Trustzone, Bootloader, kernel等组件。

slipper 盘古实验室安全研究员，曾参加Pwn2Own、DEFCON CTF、GeekPWN和TianfuCup等黑客大赛，曾公开演示破解iPhone8、PlayStation4、Cisco ASA、Safari、Firefox、MacOS、Docker、Cent OS、Ubuntu、Adobe Reader。他平时还是一位CTF主播和Baijiucon主播。