深入理解 Apple IO80211Family 卷二
王宇
议题概要

在 2020 年的 MOSEC 以及 Black Hat USA 会议上我演讲了一则和 Apple IO80211Family 相关的议题,该议题讨论了 Apple 80211 Wi-Fi 系列内核扩展程序的架构、攻击面以及大量的内核漏洞案例。两年时间过去了,也许您会关心,上述领域又发生了哪些新的变化呢?我会如此作答:首先,在已知内核漏洞被修复的同时,新的漏洞和攻击面也在被不断地引入,这是一场没有终点的比赛。其次,IO80211Skywalk 子系统越来越重要,它们中的一部分甚至已经自 XNU-8019.80.24 开源。作为安全研究员,我们需要不断地更新知识体系和模糊测试框架。再次,IO80211Family 子系统又一次被重构,IO80211FamilyV2 名字中的版本号被移除。当然,这背后的变化可不止看上去的这般简单。

随着研究的深入,我很快意识到一个新的问题:80211 Wi-Fi 子系统的攻击面分布在操作系统的各个角落 —— 从用户态守护进程到操作系统网络协议栈,再到 IO80211Family.kext、IONetworkingFamily.kext、AppleBCMWLANCoreMac.kext、IOSkywalkFamily.kext 等各类内核扩展程序。能否将模糊测试系统整合起来并协同工作极为重要,而这促使我设计了一套全新的模糊测试框架。作为该工作产出的一部分,我将向您展示超过十个零日漏洞,例如:CVE-2022-32837、CVE-2022-32847、CVE-2022-26761、CVE-2022-26762、CVE-2022-32860 等等。通过这些全新的案例,本议题会助您进一步理解 Apple 80211 Wi-Fi 子系统的设计及其面临的安全挑战。

演讲嘉宾介绍

王宇是杭州薮猫科技有限公司的联合创始人、CEO。他热爱与操作系统内核有关的一切事物,从内核架构设计到设备驱动开发,从 Rootkit、Anti-rootkit 解决方案到漏洞挖掘、利用与缓解等。他曾经在 MOSEC 2020、Black Hat USA 2014/2020/2022、Black Hat Asia 2016/2021、Black Hat Europe 2020 等会议发表过研究成果。

梦想之城-基于静态程序分析的大规模自动化Android系统漏洞挖掘系统实践
Flanker(何淇丹)
议题概要

漏洞研究者的一个终极梦想是,输入目标手机的型号版本,就可以自动挖掘获取它的0day漏洞。虽然静态程序分析被停机不可解的本质限制,技术的进步仍然能让我们高度精确地逼近这个梦想。本议题将介绍高精度Java程序分析引擎的理念和实践,包括指针分析、跨过程污点分析、调用图分析等及其流、对象和上下文敏感性,和笔者所进行的精度调优、性能调优的算法优化,以及在该引擎之上开发的高性能分布式检测平台RIDE (Rom Intelligent Defect assEsment)。最后,我将首次分享使用该系统挖掘到的数十个高危Google Android/Samsung和其他主流厂商Android系统中的高危CVE,包括但不限于System提权、StartAnywhere、敏感信息泄漏、任意应用安装等。

演讲嘉宾介绍

Flanker(何淇丹), 獬豸安全实验室负责人,高级总监。Pwn2Own Mobile和PC双料冠军,黑客奥斯卡Pwnie Award最佳提权漏洞奖得主,Google/Samsung安全全球名人堂成员。多次在BlackHat & DEFCON & CanSecWest & RECon & PoC等发表演讲。

深入理解Mach IPC
Brightiup
议题概要

Mach IPC 是XNU中Mach子系统最核心的模块之一,iOS上进程间以及进程与内核间绝大多数通信都经由Mach IPC完成。在本议题中,我们将详细介绍和解读Mach IPC的实现和我们在理解Mach IPC过程中发现的一些漏洞,通过分析这些漏洞又加深对该模块的理解。我们还会详细介绍在iOS 15.1.1上利用一个条件竞争漏洞实现内核任意地址读写的方法。

演讲嘉宾介绍

Brightiup, 昆仑实验室安全研究员,主要研究内核安全。

MediAttack - break the boot chain of MediaTek SoC
张雪雯
议题概要

联发科(MediaTek)是全球第四大无晶圆厂半导体公司,在移动终端、智能家居应用、无线连接技术及物联网产品等市场位居领先地位,同时是目前全球智能手机芯片市场占有率最高的厂商。因此 MediaTek 芯片的安全问题将会影响数亿手机及 IoT 设备。安全启动信任链是保证设备安全性至关重要的一个环节,一旦安全启动被攻破,后续的安全防护都将失去意义。本议题将详解如何通过攻击 BootRom 来击溃 MTK 的安全启动链,从而达到控制整个手机操作系统的目的。议题首先会介绍通过启动链漏洞获取 MTK BootROM 的方式,BootRom 漏洞成因以及其利用方式。接着会介绍一些 MTK 的特殊机制。最后分享一些有趣的例子以及漏洞利用的案例(例如解锁手机)。

演讲嘉宾介绍

张雪雯,盘古实验室安全研究员。曾作为 0ops、eee队员 参加过 Defcon CTF、PlaidCTF、Hitcon 等安全黑客比赛。这几年专注于 Android 底层系统研究,包括 Bootloader, kernel 等组件。

The Tour Of Coverage Guided Fuzz For An IOT Micro Kernel System
刘深荣 刘鹏举
议题概要

关于微内核与宏内核之争已经持续多年,本议题中将介绍一个基于Little Kernel启发,主要用于嵌入式的微内核操作系统。基于其我们将介绍其核心的几大特性,包括基于NameSpace实现的组件隔离机制,用户态文件系统,微内核中的虚拟内存管理实现,以及应用沙箱的设计。对于一个全新的操作系统,为了更方便的对其内核进行模糊测试,我们选取了Syzkaller引擎对其进行了适配,通过对其增加了覆盖率反馈相关的实现以及Syscall支持,可以使其较好的支持Syzkaller进行模糊测试,并发现多个内核Crash。我们也将详细讲解对该系统进行的适配过程以及发现的问题。

演讲嘉宾介绍

刘深荣- 奇点实验室高级安全研究员,目前主要研究移动及内核安全,曾在BlackHat等多个会议发表演讲。

刘鹏举- 奇点实验室安全研究员,北京邮电大学天枢Dubhe战队成员,目前主要研究内核安全。

Feat(My First EV)!: Add Support for App Store
闻观行
议题概要

近些年,电动车已然成为全球最具发展潜力的行业之一。由于不需要再带着燃油发动机和多齿轮传动器这些锻造了近两百年的桎梏,大批新兴的电动车制造商开始下场分羹,伺机翱翔。得益于锂离子电池的特大容量,新兴玩家们也同时卷起了一场车载娱乐系统的革命。几乎每个厂家都争先恐后地为自己旗下电车配备自动驾驶、OTA、语音助手、导航、在线音乐电影等功能。

加之听说电车开起来速度体验很不错,2021年我入手了人生第一辆坐骑。本议题的研究对象是中国最成功的电动汽车品牌之一旗下电车的车载娱乐系统。我会详细阐释如何从最初对车内部系统的一无所知,一步步制备漏洞利用链,直到最后取得系统的完整权限。此外,我还会分享这一探索过程中踩过的坑和一些有意思的发现:如何控制门窗、开启调试、跟子系统通信等。

演讲嘉宾介绍

闻观行是盘古的安全研究员,他主研的方向是TEE,内核,外设固件等系统底层模块的漏洞及其利用。他偶尔也会对自己的电视,音响,耳机之类的智能设备下个黑手。此前他曾在MOSEC,BHEU,Infiltrate, 44CON等安全会议发表过研究成果。

08:00 - 09:00

签到

09:00 - 09:50

深入理解 Apple IO80211Family 卷二

王宇

09:50 - 10:40

梦想之城-基于静态程序分析的大规模自动化Android系统漏洞挖掘系统实践

Flanker

10:40 - 11:00

茶歇

11:00 - 11:50

MediAttack - break the boot chain of MediaTek SoC

张雪雯

12:00 - 13:30

午餐

13:30 - 14:20

深入理解Mach IPC

Brightiup

14:20 - 15:10

The Tour Of Coverage Guided Fuzz For An IOT Micro Kernel System

刘深荣、刘鹏举

15:10 - 16:00

Feat(My First EV)!: Add Support for App Store

闻观行

16:00 - 16:30

茶歇
 

16:30 - 18:00

BaiJiuCon(Thomas Lim主持)

18:00 - 18:10

闭幕

 

 

会议时间及地址
上海市黄浦区中山东二路538号   上海万达瑞华酒店
2022/11/04 (周五)