ISC 2020移动安全论坛亮点纷呈,公开揭秘“梯云纵”漏洞如何攻破谷歌最强堡垒!
2020-08-13
万物互联时代,移动互联网伴随着移动网络通信基础设施的更新换代,得到飞速发展,智能终端设备的普及、移动电子商务的崛起、移动支付的全民化,为移动互联网发展带来机遇的同时也带来挑战。
时代热点万众瞩目,诸子百家共谋发展。全球首场网络安全万人云峰会“第八届互联网安全大会”(简称“ISC 2020”)正式启幕,且再次升级嘉宾阵容,来自中、美、俄、韩、奥、新、以等多国顶级安全智囊、专家、学者突破空间界限,以云端形式跨洋连线,共同探讨“数字孪生时代下的新安全”解决之道。
在8月13日的移动安全论坛上,行业领军人物、技术大咖等重磅嘉宾齐聚“云端”,移动安全联盟秘书长、中国信息通信研究院泰尔终端实验室移动安全团队负责人杨正军,OPPO成都安珀实验室主任周燃,盘古移动应用安全研究负责人唐祝寿,蚂蚁光年实验室安全专家仲花,蚂蚁光年实验室负责人曲和,华为终端安全实验室高级研究员谢海阔、360 Alpha Lab负责人龚广等重磅嘉宾将聚焦移动网络安全领域最前沿、最热议的技术、趋势、理念全景呈现,云端论剑问鼎翘楚,独到见解精彩不断。
移动互联网危机四伏
筑牢安全“基石”迫在眉睫
众所周知,全球互联网互联互通的特性,让平台和软件非单一和孤立,整个网络和运营商后台都是密切相关的,运营商采纳一个国外产品和后台,都势必影响到整个通信运营及其所有客户的信息安全。
唐祝寿聚焦“iOS应用网络服务安全审计”议题,就iOS应用网络服务大规模测量、iOS应用网络服务安全审计等方面进行探讨,提出,要分析iOS应用中的网络服务漏洞,应先利用盘古实验室在iOS应用采集方面的优势,解决iOS应用采集难的问题;然后设计动态分析方法,对iOS应用网络服务库进行分析;最后使用静态分析方法,对iOS应用中的网络服务进行自动分析。而大规模测量表明,网络服务广泛存在于iOS应用生态中,且通过自动分析,可发现iOS应用网络服务大量漏洞。
龚广围绕“梯云纵:远程Root现代安卓设备”这一议题探讨了为何Pixel设备是一个高难度目标,并对Android系统存在的远程攻击面进行分析。
同时,介绍了名为“梯云纵”的漏洞利用链概览,并提出,通过该利用,我们能够远程root包括Pixel设备在内,采用高通芯片的大量Android设备。此外,龚广强调,如今Android设备root难度越来越大,而Pixel系列设备通常拥有最新的缓解措施以及系统升级和补丁,可见攻击难度不言而喻。
可见移动互联网危机四伏,从大至国家到小至企业和个人,从固定终端到移动终端领域,传统的网络安全防护早已不适用于大数据时代,全面提高信息安全意识已迫在眉睫。
杨正军以“移动互联网数据治理研究-数字广告反欺诈研究”为议题,为移动互联网数据造假治理提出了一些解决思路和建议。
杨正军表示,各国法律法规逐步加强了数据安全要求,iOS14、Android11等操作系统也都强化了权限控制和数据安全管理,因此亟需产业链各方配合,从法律法规、技术标准、行业自律等方面营造良好的数字经济环境。
基于此,尽快建立健全移动互联网信息安全防护体系,筑牢安全“基石已显得十分迫切及重要。
打铁还需强自身
实力铸就移动安全“铜墙铁壁”
随着互联网技术在社会各个方面的渗透,大量用户的个人信息以数据的形式存储于企业的数据库中,形成数据聚合的“洼地”, 移动互联网安全问题的日益突出,加强移动互联网空间的治理成为当务之急。
谢海阔以“wifi :一扇虚掩的大门 现代智能系统的重要攻击面”为议题,聚焦当前主流wifi芯片厂商的业务领域和近几年的wifi漏洞,分析当前wifi产品的应用和安全情况。同时围绕wifi中的重要概念,详细分析其重要的攻击面以及fuzz思路和发现的典型漏洞,全面剖析wifi的攻击面。谢海阔提出,WiFi无处不在,而STA和AP的接入交互无需用户操作,数量众多的IE将成为重要攻击面,且漏洞位于内核驱动中,攻击危害巨大。
针对“企业级Fuzzing平台建设实践”议题,仲花和曲和两位嘉宾共同进行了“云端”探讨,提出,AntFuzz是基于Rust语言编写的一套高性能模糊测试框架,该框架将当前主流Fuzzing框架能力进行融合,并且添加诸多适合企业级Fuzzing场景的能力支持。需要注意的是,AntFuzz可根据不同应用场景下进行基于框架的快速部署,同时作为框架也提供了丰富的二次开发接口,让安全/测试工程师以最高的效率打造为业务定制化Fuzzing方案。
纵观全球,无论是国家、企业,还是个人,在未来都会面临目的性更明确的移动恶意攻击。对于个人要保障的是隐私不会外泄,对于企业要考虑的是企业利益不蒙受损害,对于国家来说更重要的是国家安全不受威胁。
周燃则以“以信任重构安全-基于去中心技术及终端可信技术的信任方法论”为议题提出,安全行业的三板斧是杀毒,防火墙,入侵检测,只不过在不同场景他们的比重会有不同:经过20多年的发展,很多安全问题却在不同安全场景一再重复出现,行业内除了重复已有方案外,并没有什么方案可以真的解决这些问题,安全行业实际是遇到了瓶颈。近年来可信技术迎来风口,将会提供另一个破题思路。
可见,打铁还需强自身。在高热的移动互联网下,需抱团取暖,完善移动互联网安全生态,共同构筑网络安全“铜墙铁壁“。
据悉,在技术日还有众多重磅嘉宾,共同参与网络空间测绘论坛、漏洞管理与研究论坛、安全开发与测试论坛等多个论坛,超时空云端相聚,探讨移动互联时代网络安全解决之道。
此外,ISC 2020还有产业日和人才日的多个精彩论坛,以及新颖多元的特色栏目接连“炸场”,例如无时区漫游、ISC 夜谈、CXO观点等特色节目,将网络安全行业的最前沿、最热议的技术、趋势、理念全景呈现,云端论剑问鼎翘楚,独到见解精彩不断。