第六届MOSEC移动安全技术峰会即将于2020年7月24日在上海万达瑞华酒店举行。承袭前五届的传统，本次峰会将有更多神秘重量级演讲嘉宾，来自全球的优秀互联网安全专家将再次聚首上海，向世界分享最新安全研究成果。

今天，FreeBuf将为大家带来现场的图文直播，一天的会议议程在本文中进行实时更新，不能到场的小伙伴可以及时关注，第一时间了解现场的精彩议题和花絮。

MOSEC移动安全技术峰会始办于2015年，由盘古团队和POC主办。会议立足于高质量的安全技术，覆盖iOS、Android、Windows三大移动平台，致力于分享移动安全领域前沿性的技术议题及发展趋势，曾创造了15天售空所有入场券的佳绩。峰会高质量的安全技术信息分享，赢得了与会者及业内的一致好评。

—— ——以下为图文直播正文部分，将置顶最新内容—— ——

BaijiuCon第五个环节

BaijiuCon第五个环节，是来自盘古安全实验室的陈良带来的关于iOS 在2020年之后的一些安全改进。1. 早期漏洞利用时候用到的zone_require的技巧，在13.6之后被完全限制；2. kalloc zone在12.4之后则会有一些内存隔离，比如内存metadata和存储的数据被隔离存储在两个不同的区域； 3. 在iOS 14 beta之中正式加入了Data PAC的保护机制。 尽管有上述保护机制的改进，陈良还是演示了针对最新系统iOS 14 beta3的提权DEMO，并且成功开启了SSH rootshell。

BaijiuCon第四个环节

BaijiuCon第四个环节，是来自360 Sky-Go Team的Minrui Yan带来的关于Benz轿车的安全研究，该研究员首先例举了汽车的一些攻击面，而他本次分享的方向是针对汽车互联网模块的一些研究。Benz的汽车联网模块采用的是高通和海思的解决方法，之上运行的操作系统是一个嵌入式的Linux。他通过拆解芯片可以dump芯片之上的文件系统，而该文件系统上存储了一些敏感的联网信息用于连入Benz的汽车控制网络。
而通过修改文件也可以直接获取该嵌入式系统的root权限。而另外一个研究方向则是通过获取汽车的eSIM卡来连接到汽车的后端服务器，并且很多服务接口是没有认证的，通过后端服务器可以给任意的Benz轿车(有VIN编号)发送控制指令。

BaijiuCon第三个环节

BaijiuCon第三个环节，是来自华为终端的Rancho带来的关于Windows 打印驱动安全的研究，由于驱动架构的设计，在打印文档的时候，GDI渲染引擎需要去回调打印的图形DLL(RING0回调至RING3)，在UMPD回调中存在很大的攻击面用于内核的攻击，而这一块就留给读者去慢慢探索了。 ​​​​

BaijiuCon第三个环节中还有著名的互联网资讯博主redrain_QAQ 带来的关于软件供应链的一些攻击技巧技巧。针对开源代码的投毒来诱使一些特定用户安装并且植入一些"有意思"的代码，比如修改编译器去读取缓冲区的逻辑来插入一些隐藏的后门代码，那么所有使用该编译器的所有开源软件都会自动植入后门代码。最后，也提出了针对这种攻击的检测手段。

BaijiuCon第二个环节

BaijiuCon第二个环节，是来自Alibaba Security的王勇小哥带来的关于内核安全方面的研究（Arch-flip），比如ARM 32位和64位的切换。通过该技术可以达成例提升逆向工程的难度，绕过三星手机的RKP保护以及在chrome浏览器中沙盒逃逸时变得更加优雅一些。并且再最后还演示了Android手机上Chrome沙盒逃逸的利用DEMO。

BaijiuCon第一个环节

BaijiuCon第一个环节，是上午滴滴出行的王宇老师keenjoy95 返场讲解了也是关于他自己的关于苹果SEP的研究。和盘古团队徐教授windknown 的研究的区别，王宇老师着重于SEP mailbox msg的研究，这个研究也是基于Kmon的sniffer功能用于dump 主处理器和SEPOS/APP之间的mailbox通讯的内容，并且可以做一些SEPOS/APP的被动fuzzing功能来挖掘漏洞。

议题五

今天会议压轴的一个议题是来自盘古团队的windknown带来的关于iOS SEP芯片的安全研究，也是全球首个公开iOS SEP芯片中安全漏洞的议题。

一直以来，苹果为了保证手机加密能力的安全性，把很多密钥加解密和安全存储的功能放在独立的协处理器(SEP）之中。和BOOTROM一样，SEP芯片也有独立的SEPROM用于加载SEPOS及运行在SEPOS之上的APP。而由于ROM的特殊性，ROM是芯片内置的系统并且是只读的，所以相应的漏洞苹果也无法通过软件更新的方式进行升级修补，因此，也称这些漏洞为硬件漏洞。

windknown首先介绍苹果SEP硬件及系统的架构，其中主处理器和协处理之间是隔离的，需要通过共享内存的机制进行通讯。随后，又详细的讲解了SEPROM初始化的过程包括内存隔离机制的实现，而其中的内存隔离机制是由TZ0机制进行实现的，其中TZ0寄存器描述了SEP内存使用的范围，而AMCC是用于禁止主处理器访问TZ0的内存空间。

这次公布的史诗级漏洞是存在于SEPROM之中，通过结合checkm8的BOOTROM exploit，可以修改IO映射寄存器来绕过内存隔离保护。之后配合主处理器的race来达到修改任意SEPOS及SEP APP的目的，例如通过patch sks中密码输入的限制，来无限制尝试锁屏密码。

议题四

下午的第一个议题是来自盘古实验室的研究员，多个CTF赛事获奖者slipper 带来的关于小米澎湃s1手机芯片的安全研究，区别于目前市场上主流的华为及联发科等芯片，澎湃s1是小米松果自主研发的一款手机芯片。

通过对该芯片上的固件进行提取和分析，了解整个系统的启动方式(romboot，firstboot及secondboot)的机制及代码逆向，找到了在firstboot/secondboot中的一个在EL1级别的持久化代码执行的漏洞，但是该漏洞需要手机root权限才能触发。

那么如何获取手机的root权限呢？slipper又逆向了该芯片中trustzone的代码，并且在其中mlipay ta中找到了多个溢出漏洞，通过用户态的普通用户权限可以直接攻击trustzone获得相应的权限来达到物理地址任意读写的目的，例如patch内核获得系统的root权限。

最后，由于小米5C手机内置的chrome版本较低，slipper在这里用到了一个1day，通过连接到Wi-Fi热点，自动打开页面的方式来触发该漏洞来完成整个full chain的攻击。

第二波现场花絮

议题三

上午最后一个议题是连续MOSEC三届的演讲者，来自360Vulcan team的大包带来的针对JSC浏览器优化措施的研究分享。

大宝首先详细介绍了JSC DFGAI代码的结构及代码的控制流分析，常量折叠等优化措施的实现，而本次的分享是着重在InPlaceAbstractState中的状态转换的分析过程中的一些代码优化措施。接下来，大宝比较了JSC及Chakra在CFAPhase的实现的不同，这也就是Chakra中的回调导致的slideEffect的问题在JSC中并没有的原因，而一个比较好的代码审计思路则是详细的审计一些关键的检查类型的opcode，例如CheckArray，alreadyChecked。

随后，大宝详细的介绍了他在审计CheckArray opcode中存在的一个安全问题的形成原因，而这个问题可以导致ArrayStorage和SlowPutArrayStorage的一个混淆的问题。但是想要利用这个漏洞是有一些非常苛刻的条件，大宝详细的分析了JSC OSRexit的机制，并且成功的找到了一条路径成功的绕过了CheckArray并且通过回调来触发类型混淆。

最后，大宝总结了他自己漏洞挖掘的一些心得体会，并且给我们指出了一些未来能够挖到可利用0day的一些方向。

议题二

上午的第二个议题来自Flanker，某知名电商的安全负责人，前科恩实验室安全研究员，多次的Pwn2Own获奖者……一句年少有为应该可以用来形容Flanker。

这次的MOSEC，Flanker带来的是Android二进制fuzzing的新实践。众所周知，高效率的无源代码fuzzing的代码覆盖分析一直是一个挑战。

首先，Flanker比较了当前主流的二进制代码覆盖率分析工具的利弊，选择了emu平台作为了他的底层框来架编写了DroidCorn的分析平台。DroidCorn是一个能够把任意的ARM/AARCH64的二进制程序转成一个X64的二进制目标程序进行fuzzing平台。最后，Flanker分享了他的实践结果，通过DroidCorn对三星手机上的图片处理库进行fuzzing，并且分享了一些能够利用的漏洞及其DEMO。

议题一

开场的第一个议题是由来自滴滴出行美研的王宇王教授带来的关于苹果80211 Wi-Fi子系统中的研究工作。

首先，王教授详细的分析了该子系统的架构及攻击面。接下来，介绍了在自己Kmon开源项目的基础上编写了一个Wi-Fi子系统的本机sniffer及fuzzer程序。整个fuzzer系统通过Kmon项目提供的内核inline hook的功能实现了代码覆盖率的分析及基于Wi-Fi sniffer实现的被动fuzzing功能。

通过该系统，王教授成功发现了多个苹果Wi-Fi子系统中的内存安全问题，并且分析了其中几个能够被利用的漏洞及其利用的方法，最后还演示了一个0day的DEMO。

今年的MOSEC依然是熟悉的“移动安全 技术护航”。当然，由于疫情的原因，本次会议的开幕致辞是通过视频的方式，连线了来自韩国的POC会议的创始人Vangelis。（毕竟参会的同时，也做好防护措施）

现场入场花絮

先来一波此次会议的议题速览~

具体议题介绍参见【此处】