MOSEC移动安全技术峰会2020

演讲者及会议议题：

深入浅出JSC优化措施

招啟汛

议题概要

JSC是Safari(Webkit)中使用的JS引擎, 在JIT过程中使用了很多的优化措施提升代码的质量与速度。

我会结合1-2个目前为止我碰到过最复杂的漏洞利用过程, 利用过程涉及如何利用profile trick来生成自己需要的opcode模式, 以及DFG优化的众多细节, 例如DFGAI, opcode hoist, CFG Analysis等等细节, 希望给大家未来挖掘漏洞和利用提供思路。

演讲嘉宾介绍

招啟汛(@S0rryMybad)是奇虎360 Vulcan团队的安全研究员, 在Pwn2Own和天府杯中多次攻破多个主流浏览器和远程越狱过iPhone。

在MSRC 2019中排名第2。

Pwnie 2019最佳提权奖得主。

DroidCorn: 无源码Android Binary Fuzzing新实践

何淇丹

议题概要

使用AFL和libfuzzer进行Coverage-Guided Fuzzing(CGF)已是当今妇孺皆知的主流操作，在有源码的场景下易于上手且战果颇丰。但对于很多场景下更常见的三方、系统闭源目标，往往束手无策，尚未有成熟高效的工具框架出现。

将CGF应用于Black-box Binary存在许多挑战，如何有效进行覆盖率度量？如何在异构环境下模拟syscall和runtime？实践中Instrumentation和Emulation的路线孰佳？天下武功唯快不破，如何在设计和实现上尽可能提升效率，降低黑盒和异构Fuzzing不可避免的效率损失？

本议题中我将讨论业界相关研究，并分享对上述问题的思考和实践：DroidCorn - 一个在x86集群上对ARM/AArch64的Android Binary进行Coverage-Guided Fuzzing的开箱即用框架。

演讲嘉宾介绍

何淇丹(@Flanker_017)是知名互联网企业安全总监，前科恩实验室高级研究员。

专注于安全攻防研究和大规模应用、系统安全防御体系研究建设。曾获 Pwn2Own Mobile 和 PC 双料冠军、Black Hat Pwnie Award 最佳客户端漏洞提名，Google Android Security Top Researcher 称号。多次在 Black Hat、DEF CON、CanSecWest、RECon、PoC、QCON 等发表演讲。

深入理解苹果操作系统IO80211Family网络组件

王宇

议题概要

从 iOS 13和macOS 10.15开始，Apple 重构了 80211 Wi-Fi 客户端驱动架构，并将新一代的设计命名为：IO80211FamilyV2。相对于 IO80211Family (V1) 而言，版本 2 以及 AppleBCMWLANCore 等模块整合了原有的 AirPortBrcm 系列驱动程序，并进一步扩展了诸如 Sidecar、Skywalk 等功能。这些最新的变化为设备间通信与数据共享提供了更好的支持与保护。当然，我们也应该清楚，新的特性总是伴随着新的漏洞和被攻击的潜在风险。

本议题将深入研究每个受影响的 Wi-Fi 组件，探索新的攻击面，展示数个影响iOS/macOS内核零日漏洞，从广义视角审视Apple 80211 Wi-Fi 子系统的设计及其面临的安全挑战。

演讲嘉宾介绍

王宇，滴滴出行美国研究院资深专家工程师，GeekPwn 评委。他热爱操作系统内核相关技术，曾多次于 Black Hat USA、DEF CON 等会议发表演讲。

暗涌2020

slipper

议题概要

每当有新手机发布，其搭载的手机soc芯片都会成为技术爱好者讨论的热门话题。其实除了苹果、高通、海思、联发科和三星等主流芯片厂商以外，小米也曾探索过自研手机芯片之路。

三年前小米就曾推出一款自研芯片澎湃S1。作为唯一搭载这款芯片的手机，小米5c在发布数月后便匆匆下架，让这款芯片显得越发神秘。

在手机芯片国产化呼声越发高涨的今天，我们对国产自研手机芯片更加期待，也更加好奇。

本议题将以安全研究者的视角来分析和体验澎湃S1，为大家揭开这款国产芯片的神秘面纱。

演讲嘉宾介绍

slipper 盘古实验室安全研究员，曾参加pwn2own、defcon ctf和geekpwn。平时还是一位ctf主播，曾直播远程越狱ps4和iPhone8。

攻击SEP的安全启动

徐昊

议题概要

iPhone从5S开始支持指纹解锁，后续又加入了面容解锁。为了安全得比对生物信息，苹果改变了iPhone的架构，引入了SEP（Secure Enclave Processor），负责处理用户锁屏密码以及生物信息的比对。

SEP拥有相对独立的运行环境，在此之上运行了SEPOS以及一些重要的APP。SEP与AP（Application Processor）仅通过安全邮件（Secure Mailbox）的方式进行通信，即使攻击者获得了AP的权限，也无法直接对SEP内部的代码逻辑和数据进行影响。这样的架构最大限度保证了数据的安全性。

相信大家对AP侧的安全启动已经比较了解了，而SEP侧同样有自己的安全启动以加载SEPOS。本议题会通过逆向SEPROM来深入了解SEP的启动和初始化过程，其中会详细介绍SEP与AP的通信以及如何完成内存初始化。同时，去年checkm8漏洞的公开让我们可以方便得在iBoot阶段执行自己的代码，从而进一步测试与SEP的通信。最终我会介绍在测试过程中发现了针对老设备的漏洞，使得我们能够进一步影响SEP的安全启动。

演讲嘉宾介绍

盘古团队联合创始人，拥有超过10年的信息安全领域从业经验。研究领域涵盖了操作系统的安全性、漏洞利用技术、Rootkit检测、硬件虚拟化技术等。曾发现过Windows/macOS/iOS等不同操作系统平台上的漏洞，并在许多安全会议上分享研究成果。目前专注于移动操作系统的安全体系研究及漏洞挖掘。

 ​​​​​​​