BlackHat USA 2018 | 即将开幕的环球黑客狂欢盛典

3. 用户空间下的只读内存“杀伤力”庞大

• 演讲职员：腾讯科恩尝试室安详研究专家-陈良
• 演讲所在：Jasmine Ballroom
• 演讲日期：2018年8月8日，礼拜三，11点15分-12点05分
• 演讲情势：50分钟告诉
• 主题标签：移动安详、裂痕操作开拓

现在，许多当代操纵体系在各自的CPU架构层级中都实现了只读内存映射成果，并依赖此要领来抵制某些常见的安详进攻举动。通过将内存数据映射成只读内容，内存数据的拥有者(历程)将可以或许信赖可会见到的内存数据，并镌汰一些不须要的安详方面的忧虑，譬喻内存界线检测和TOCTTOU等题目。由于在只读内存映射成果的辅佐下，我们可以假设其他历程在各自的假造空间内是无法对映射出来的只读内存举办直接操纵的。

可是，这种假设并不必然是正确的。在已往的几年时刻里，安详社区已包办理了不少相干的逻辑题目了，而这些题目绝大大都都是由操纵体系对只读内存映射成果处理赏罚不妥所导致的。好比说，某些环境下操纵体系会将只读数据映射为可写数据，而且还没有对权限举办设定。这样一来，方针历程所拥有的内存内容将不再是可信赖的了，并引起内存瓦解等题目，乃至尚有也许导致进攻者在用户空间内实现权限晋升。不外跟着当代操纵体系的不绝进级，这些题目也很少呈现了。从另一方面来看，移动装备附加的外围装备所提供的成果越来越富厚，DMA(直接内存会见)技能将应承我们快速地在主机和外围装备之间举办数据互换。DMA技能操作了IOMMU(输入/输出内存打点单位)来举办内存操纵，因此CPU MMU所提供的内存掩护机制在DMA举办数据传输时代将处于不行用状态。在2017年中旬，Google Project Zero团队的Gal Beniamini就操作DMA技能乐成实现了对Nexus 6P和iPhone 7的进攻。然而，这种新型的进攻模子凡是只合用于从装备到主机的进攻场景，而且必要固件裂痕才有也许实现对方针装备的完备节制。不幸的是，DMA相干的接口并不会直接袒露给用户空间的应用措施。

颠末尾几个月的研究之后，我们在iOS装备上发明白一个特例：即Apple图形(驱动)。在2017年的MOSEC移动安详技能峰会上，我们演示了怎样对iOS 10.3.2和iOS 11 beta2体系举办越狱，而这两个版本是其时的iOS最新版本，iPhone 6s和iPhone 7运行的都是这两个版本操纵体系的个中之一，不外演示进程的详细细节我们至今都没有对外发布。

在此次演讲进程中，我们将先容相干裂痕的焦点观念，个中包罗：

• 袒露在iOS用户空间内的间接DMA成果。
• IOMMU内存掩护的实现。
• GPU和苹果图形驱动器之间的关照机制。

在下一个部门中，我们将先容两个裂痕的技能细节：第一个裂痕是DMA在处理赏罚主机假造内存时呈现的，第二个裂痕是一个越界写入裂痕，该裂痕是由不受信赖的用户空间只读内存导致的。

最后，我们将先容奈何团结Apple Graphics组件中的这两个裂痕来在iOS应用措施沙箱中实现不变的内存代码执行。

4. 无线安详：我们怎样长途入侵特斯拉的网关、BCM以及自动驾驶ECU

• 演讲职员：腾讯科恩尝试室安详研究专家-刘令、腾讯科恩尝试室安详研究专家-聂森、腾讯科恩尝试室安详研究专家-张文凯、腾讯科恩尝试室安详研究专家-杜岳峰
• 演讲所在：South Seas CDF
• 演讲日期：2018年8月9日，礼拜四，17点00分-18点00分
• 演讲情势：50分钟告诉
• 主题标签：物联网安详、裂痕操作开拓

在2016年和2017年，我们腾讯科恩尝试室已经乐成对特斯拉Model S/X实现了两种长途进攻。客岁，在美国举行的Black Hat黑客大会上，我们向全天下展示了第一条进攻链的技能细节。不只云云，我们其时还向外界提供了第二条进攻链的进攻演示视频，不外我们并没有在视频中先容进攻的技能细节。可是本年，我们筹备将我们完备的研究内容以及技能细节信息所有门享给各人。

在此次演讲进程中，我们将先容这项技能的内部事变机制。除此之外，我们还在2017年特斯拉进攻技能的基本之上添加了新的成果，这部门我们也将会举办演示。值得一提的是，在新的进攻链中，将会涉及到特斯拉汽车组件中的多个0 day裂痕，各人等候吗?

虽然了，我们还会对特斯拉汽车中的要害组件举办深入说明，个中包罗网关、BCM(车身节制模块)以及自动驾驶ECU。好比说，我们将会操作到一个代码署名绕过裂痕来进攻特斯拉的网关ECU，并且我们还可以或许对BCM举办逆向说明并对其举办自界说修改。

最后，我们将先容一种新的长途进攻技能，在这项进攻技能的辅佐下，我们可以或许操作一个很是故意思的裂痕乐成入侵特斯拉汽车的自动驾驶ECU。提示各人一下，据我们所知，在此之前还没有人果真演示过怎样入侵特斯拉的自动驾驶模块。

5. 怎样进攻当代智妙手机的基带?

• 演讲职员：腾讯科恩安详尝试室高级安详研究专家- Marco Grassi (意大利)、腾讯科恩安详尝试室安详研究专家-Muqing Liu、腾讯科恩安详尝试室高级安详研究专家-谢天亿
• 演讲所在：South Seas ABE
• 演讲日期：2018年8月9日，礼拜四，14点30分-15点20分
• 演讲情势：50分钟告诉
• 主题标签：移动安详、裂痕操作开拓

在此次演讲中，我们将对当代智妙手机的基带举办深入说明，并接头与智妙手机基带相干的计划方案以及安详应对计策。接下来，我们还会表明怎样探求并操作内存瓦解裂痕。除此之外，我们还会先容一个案例以供各人研究，我们将具体先容其时我们在2017年 Mobile Pwn2Own大会上得奖的技能案例，个中就涉及到智妙手机基带中的一个0 day裂痕(可实现长途代码执行)。通过深入研究，我们此刻可以在无需用户交互且无需打仗方针手机装备的环境下乐成操作该裂痕实现对方针手机的长途节制，而这个裂痕也辅佐我们赢得了十万美元的奖金。

5. 裂痕操作自动化天生：怎样自动化开拓针对恣意范例内核裂痕的裂痕操作方案

• 演讲职员：京东安详硅谷研究中心博士-Su 苏志刚、宾夕法尼亚州立大学&中国科学院大学研究员-吴炜、宾夕法尼亚州立大学博士-Xinyu Xing
• 演讲所在：Islander FG
• 演讲日期：2018年8月9日，礼拜四，14点30分-15点20分
• 演讲情势：50分钟告诉
• 主题标签：裂痕操作开拓

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!