11月4日，由奇安盤古（盤古實驗室）和韓國POC主辦的2022MOSEC移動安全技術峰會在上海隆重舉行。作為國內極負盛名的移動安全盛會，本次大會吸引到了數百名來自移動安全領域的頂級白帽黑客以及行業專家，圍繞iOS、Android、車載娛樂系統以及SoC芯片等移動端軟硬件的漏洞挖掘、漏洞利用以及安全防護等話題，為業界奉獻了一場饕餮盛宴。

奇安信集團總裁吳云坤在致辭中表示，MOSEC從2015創立以來，一直堅持聚焦移動安全、專注于前沿技術，吸引聚集二進制漏洞攻防領域的頂級專家還有他們的頂級成果和智慧，為移動安全領域的技術發展做出了貢獻。

“三人行必有我師。”POCSEC CEO JinWook在致辭中說，作為最棒的移動安全盛會，MOSEC舉辦八年來，吸引了大量優秀的安全從業人員，發表了許多優秀的成果，希望所有參會者都能從中有所收獲。

01 模糊測試框架——探測無處不在的攻擊面

作為蘋果手機無線網絡的重要模塊之一，Apple 80211 Wi-Fi子系統的攻擊面分布在操作系統的各個角落——從用戶態守護進程到操作系統網絡協議棧，再到各類內核擴展程序，這使得攻擊者能夠從四面八方對其發動攻擊。

“能否將模糊測試系統整合起來并協同工作極為重要，而這促使我設計了一套全新的模糊測試框架。”杭州藪貓科技聯合創始人、CEO王宇說，搭建遠程內核調試環境能幫助快速的定位和分析漏洞成因。這套框架可以幫助研究員系統的對攻擊面進行安全測試，從而發現其中的漏洞等安全風險。

02 白帽子的終極夢想——漏洞的批量挖掘

“漏洞研究者的終極夢想是，輸入目標手機的型號版本，就可以自動挖掘獲取它的0day漏洞。”獬豸安全實驗室負責人、高級總監Flanker將所有白帽子的終極夢想一語道破。為了實現這個目標，Flanker分享了他的研究成果Java程序分析引擎，包括指針分析、跨過程污點分析等多個模塊。使用該系統，Flanker挖掘到了數十個主流廠商系統中的高危漏洞。“雖然目前還存在著這樣那樣的限制，但技術的進步仍然能讓我們不斷逼近我們的終極夢想。”Flanker說到。

03 安全進階——內核奧秘的探究

作為iOS操作系統的內核，XNU歷來都受到開發人員和安全研究員的關注。而Mach IPC作為XNU中Mach子系統最核心的模塊之一，iOS上進程間以及進程與內核間絕大多數通信都經由Mach IPC完成。

“在對Mach IPC研究的過程中，我們發現了一些漏洞。”昆侖實驗室安全研究員Brightiup介紹說，鎖是XNU對象管理中很重要的一點，時機和位置不對都容易引入安全問題，及時關注新增加的代碼對研究者也十分重要。

Brightiup表示，在去年MOSEC期間發表的port類型混淆漏洞的基礎上進一步研究，又發現了多個通過條件競爭觸發的類型混淆漏洞。隨后，Brightiup通過引入更多的相關對象和功能（turnstile,knote,workloop等），逐步增加了審計的范圍后，又發現了不少UAF類的漏洞，包括在最新的iOS 16.1中被修復的一個漏洞。

來自奇點實驗室的兩位安全研究員劉深榮、劉鵬舉則將目光放在了微內核上。與Linux、Unix等傳統宏內核不同的是，微內核盡可能簡化了自身的功能，主要負責不同模塊之間請求的傳遞。

劉深榮、劉鵬舉詳細介紹了一款嵌入式的微內核操作系統幾大特性，包括基于NameSpace實現的組件隔離機制，用戶態文件系統，微內核中的虛擬內存管理實現，以及應用沙箱的設計。

當然作為安全研究員，劉深榮、劉鵬舉更關心的還是安全性。據介紹，為了更方便的對其內核進行模糊測試，劉深榮、劉鵬舉選取了Syzkaller引擎對其進行了適配，通過對其增加了覆蓋率反饋相關的實現以及Syscall支持，可以使其較好的支持Syzkaller進行模糊測試，并發現多個內核安全漏洞，并且講解了漏洞的利用技巧。

04 芯片級漏洞——億萬手機的達摩克利斯之劍

作為全球最大的無晶圓廠半導體供應商之一，聯發科在移動終端、智能家居應用、無線連接技術及物聯網產品等市場位居領先地位，同時是目前全球智能手機芯片市場占有率最高的廠商，旗下MTK芯片被億萬手機和IoT設備使用。

盤古實驗室安全研究員張雪雯的議題便與MTK芯片相關。據她介紹，在芯片固件里，安全啟動信任鏈是保證設備安全性至關重要的一個環節，一旦安全啟動被攻破，后續的安全防護都將失去意義。

值得注意的是，如果漏洞位于BootRom（寫死在芯片）中，鑒于該區域的只讀屬性，這就意味著它不像軟件漏洞一樣可以能通過軟件更新手段進行修復，進而永久存在于芯片中，可以說是懸在億萬手機和物聯網設備頭上的達摩克利斯之劍。2019年9月末，蘋果手機A系列芯片中被曝出存在BootRom的漏洞。

張雪雯通過若干漏洞實例，詳解了BootRom漏洞成因、利用方式以及如何通過攻擊BootRom來擊潰 MTK 的安全啟動鏈，從而達到控制整個手機操作系統的目的。

05 車載娛樂——黑客也狂歡

除了手機以外，各類物聯網設備也頗受極客們的青睞，電動汽車便是其中之一。近些年，電動車已然成為全球最具發展潛力的行業之一，并且受到互聯網造車概念的影響，大批新興的電動車制造商紛紛入市，與傳統車企展開了同臺競技。

其中作為車企之間競爭的焦點之一，車載娛樂系統已經成為提升消費者駕車體驗的重要環節，幾乎每個廠家都爭先恐后地為自己旗下電車配備自動駕駛、OTA、語音助手、導航、在線音樂電影等功能。

但車載娛樂系統的安全性卻參差不齊。今年上半年，大眾和奧迪幾款車型的車載信息娛樂系統被曝存在多個漏洞，攻擊者可以通過車載娛樂系統打開或關閉麥克風，監聽司機正在進行的談話、訪問車主個人隱私信息以及車輛定位信息等。

據盤古實驗室的安全研究員聞觀行介紹，2021年入手的第一輛電動汽車，激發了他對于車載娛樂系統的興趣。在近一年的時間里，聞觀行找到了一條完整的漏洞利用鏈條，此鏈條可取得車載娛樂系統的完全控制權限。此外，聞觀行還分享了獲取權限后可以做到的一些功能演示，包括如何控制門窗、開啟調試、跟子系統通信等。

06 聚焦訪談——安全是相對的，不是絕對的

圍繞移動設備、芯片安全、隱私保護、信創、車載安全，奇安盤古CEO韓爭光接受了媒體的采訪，并對相關內容進行了深度地探討和交流。

奇安盤古CEO韓爭光表示，隨著攻防技術的發展，以iOS系統和Android系統為代表的主流移動操作系統的安全性與日俱增，針對安全漏洞的預防、緩解、檢測和修復等各個環節的技術手段已經十分成熟，初級的、簡單的安全漏洞基本上已經銷聲匿跡。

iOS和Android除了在系統層不斷加強緩解措施外，也在硬件芯片上增加了不少緩解措施，軟硬結合的緩解措施帶來的效果十分明顯。相比過去在系統上的漏洞，攻擊者往往拿到授權后就能對系統進行修改，在接下去的趨勢里，更多的安全機制會適用在硬件上，通過硬件芯片來保護系統不被篡改可以有效地增加漏洞利用的難度。

而這也為廠商帶來了其他方面的難點，比如一旦硬件芯片出現安全漏洞，廠商也無法修改，因為它是“已出廠的硬件”，就像蘋果出的兩次DFU漏洞一樣，由于有缺陷的代碼被固化至硬件中，廠商無法通過更新補丁的方式修復漏洞，只能在軟件層引入緩解措施，或是發布新的硬件。

但對于一般用戶來說，并不需要對此太過焦慮。當用戶遇到這種芯片級的問題時，由于實際觸發漏洞需要物理接觸設備，同時還需要特殊的硬件輔助，因此攻擊者利用漏洞的難度會大大增加。另外在面對這種芯片級的漏洞時，廠商往往會采取各種系統上的措施來緩解漏洞利用帶來的危害，所以普通用戶無需過分擔心。韓爭光對此建議，用戶可設置較為復雜的手機密碼，以降低風險。

在隱私保護方面，韓爭光提出，各國都在加強個人信息保護，因此越來越多的廠商會在用戶隱私保護上有所投入。我國監管部門為此出臺了許多法律法規，要求手機廠商、APP開發者也要加強應用的隱私保護，避免應用廠商或者第三方SDK竊取用戶隱私用于黑灰產業，這是近年來比較重要的變化方向。

拿Android系統舉例，早期的Android系統會允許應用程序獲得短信權限，現在已逐漸改變，包括設備的MAC地址和IMEI，蘋果iOS和Android等手機廠商都不再允許他人通過設備這唯一的硬件信息來跟蹤用戶，因為設備號相當于標簽、標識，可以描繪用戶的畫像，屬于用戶的個人隱私，當下除了漏洞和惡意軟件外，黑灰產主要利用、販賣的就是這類個人隱私，廠商能在拒絕標簽、拒絕畫像上有所作為，這就是一種進步。

韓爭光認為，接下去治理手機生態將是廠商們的重頭戲。比如移動端常常遇到的各種推廣應用，什么XX大師、XX助手，還有霸屏廣告等，這些軟件會模擬鎖屏和場景，讓用戶刪除不得。和過去損人不利己的病毒相比，當下的惡意軟件更多的會以利益為主，因此對廠商來說，就有這責任和義務去處理這些問題，因為這不單單是系統、軟件層面的問題，而是整個手機生態的問題。

隨著各種黑灰產場景的出現，以后廠商的安全防護會越來越精細化。而安全和便利之間有時是矛盾的，比如在經歷大量高價值用戶的移動設備被APT攻擊后，蘋果加入了鎖定模式，在此模式下，很多攻擊面就失效了，這也許是一個未來安全發展的方向，會增加更多的安全設置，讓用戶自己選擇更便利還是更安全。

在“蘋果iOS和Android誰更安全”的問題上，韓爭光多次強調：“安全是相對的，不是絕對的。”他認為蘋果iOS和Android在安全上未必能有高下，從總體來說不太好對比，要切到很多細顆粒的維度來對比，比如，安全投入、對安全的態度、安全機制、應用管控、瀏覽器等方面都可能會有不同的對比結果。

至于華為的鴻蒙系統，其有著面向全場景的分布式操作系統，里面有不少獨特的亮點，比如分布式場景，鴻蒙實現了一套分布式總線，可以在多個終端之間共享硬件資源，使多個設備共同形成超級虛擬終端。

而所謂安全，主要看廠商對安全的態度是怎樣的，比如過去廠商對安全的定義無非是彌補漏洞，或靠消除負面的輿論來維持安全形象，但鴻蒙在安全啟動、可信執行環境、設備證書認證、漏洞緩解、個人數據和隱私保護上都有不少投入，包括他們在漏洞獎勵計劃，在和外部安全廠商的合作上都是有目共睹的。

信創方面，韓爭光表示，從俄烏沖突中西方在信息技術領域的極限制裁，到美國近期出臺的芯片法案等對中國相關技術領域的打壓，都說明了國家將堅定推進信息技術自主創新的決心。為此，國家出臺了相關政策，指導國資信創產業發展和進度，要求國企央企全面完成綜合辦公系統和重要基礎設施的替代，這必然會加快信創推進速度。

信創不是一個簡單替代，它是產業升級，而奇安信作為中國電子PKS體系的重要成員，對信創產業鏈有著深刻理解，同時對信創的安全需求也有著深刻理解，信創不能解決安全問題，信創更需要安全。韓爭光指出，奇安盤古在信創漏洞挖掘技術方面有著先天的優勢，也可以說盤古在信創安全領域已經發展和積累了完整的技術能力，之后會隨著信創的發展持續加大投入。

除此之外，智能網聯汽車作為汽車產業轉型升級的重要戰略方向，目前正處于快速發展和迭代的關鍵時期，可以看到新能源汽車現在的系統基本都是智能系統，韓爭光對此表示，盤古主要的核心能力在于操作系統安全研究和漏洞挖掘，在硬件、系統、應用和網絡各層的安全架構都有不少的經驗，所以近年來盤古和新能源車廠之間的合作也不少。

相比于同樣是Android的手機系統，在區別和難點方面，韓爭光指出，手機的系統通常是開放式的，比如可以輕松地安裝第三方應用，而車機的系統相對封閉，所能安裝的應用有限。同時，在研究手機時，它們的固件包可以通過官方獲取，但車機的固件包不會發布在網上，因此很難去獲取，也就意味著無法研究，無法分析系統，只能依賴同類設備的多年研究經驗，邊盲試、邊dump、邊分析，然后往復循環，通過表層漏洞一點一點走入系統內部，并在老系統上積累足夠的認知以應對系統升級后新的未知，這其中所需投入的時間和精力便是研究電車娛樂系統時最大的難點。

圍繞車聯網云、路、網、車的不同層面，奇安信集團已經開展大量研究和安全實踐， 擁有車聯網態勢感知與應急響應平臺、車聯網安全合規檢測一體化集成柜、車路協同安全“哨兵”、汽車信息安全靶場等多個安全產品和解決方案。其中，“智能網聯汽車態勢感知與應急響應平臺”是通過在車端的IDS收集上報車輛的安全數據，匯聚到平臺上，平臺通過對數據匯聚和挖掘來分析安全事件，通過機器學習建模方式對車輛安全數據進行分析，結合威脅情報分析等系統來實時跟蹤外部安全事件，能夠對智能網聯汽車整體安全態勢進行分析研判。

07 尾聲

MOSEC移動安全技術峰會自2015年在國內首次舉辦以來,立足于高質量的安全技術,致力于分享移動安全領域前沿性的技術議題及發展趨勢。因高質量的安全技術分享,每年大會都贏得與會者及業內一致好評,目前已經成長為國內安全技術峰會的重要風向標,吸引全球最頂尖的網絡安全專家和白帽子黑客前來參會。

詳情請關注安在新媒體—人物、熱點、互動、傳播，有內涵的信息安全新媒體。