直擊黑帽大會第一天:HTTPS再爆風險,安卓系統欺騙認證嚴重
責編:admin |2014-08-08 15:45:14一年一度的BlackHat大會于北京時間8月7日凌晨在美國內華達州拉斯維加斯召開。安恒信息總裁范淵率領安全技術達人們親臨現場,與來自世界各國的網絡安全專家進行深入的探討和交流。
未來幾天,小安會陸續整理我們在BlackHat大會上的見面,以饗讀者。
移動安全是今年BlackHat大會一個重要議題,有關移動安全方面的議題很多,今日大會第一天,HTTPS再爆風險,安卓系統欺騙認證嚴重性史無前例。下面挑選幾個比較具有代表性的議題供大家參考。
Android FakeID 漏洞
之前網上已經公布了FakeID的漏洞, 但沒有公布具體的細節。而這次漏洞的發現者Jeff為我們講解了攻擊的原理。利用證書鏈認證的安全問題,繞過了證書的校驗,并能覆蓋掉之前安全的應用。Jeff在現場為大家做了演示: poc沒有申請任何權限,最后獲得了一個遠程控制的shell, 完全控制了android操作系統。
TrustZone的安全問題
ARM TrustZone 技術是系統范圍的安全方法,針對高性能計算平臺上的大量應用,包括安全支付、數字版權管理 (DRM)、企業服務和基于 Web 的服務。 TrustZone 技術與 Cortex-A 處理器緊密集成,并通過 AMBA AXI 總線和特定的TrustZone 系統 IP 塊在系統中進行擴展。此系統方法意味著可以保護安全內存、加密塊、鍵盤和屏幕等外設,從而可確保它們免遭軟件攻擊。 而手機大量使用 arm芯片, 都會存在這樣的問題。 演講者利用一個整型溢出漏洞成功的修改了特定內存的數據,成功攻擊了TrustZone, 并解鎖了android 的bootloader
移動設備管理軟件可以訪問廣泛的數據,而這可能會因為MDM產品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執行這種攻擊,并且列出了允許這種漏洞利用的漏洞。他表示,有些漏洞在一些商業MDM產品中非常常見。
此外,Google glass作為新興的產品,很受關注, 其中一個議題《my google glass see your password》講述了應用程序可以誘使視頻用戶輸入密碼到觸摸屏,并對其分析以竊取密碼,其原理并不復雜,但思路很有趣,利用googleglass的拍照攝像功能獲取按鍵的視頻,然后通過視頻處理的方式獲得對應的按鍵從而獲得ipad等設備的解鎖密碼。并且據說在2m內的成功率100%,3m內的成功率也有80%-90%
云計算是當下最熱門IT技術之一,關于云計算的安全這兩年也是業內非常重視的熱點之一。在今年的Blackhat第一天的會議上就有兩個關于云計算安全的議題。
第一個議題是來自w3af的Andres Riancho給大家帶來了《PIVOTING INAMAZON CLOUDS》主題演講,針對目前越來越多的應用程序被部署到Amazon云上,那Amazon云基礎平臺是否安全?傳統的安全測試手段是否適用云計算平臺測試 Andres Riancho給大家的答案是否定的。Andres Riancho在現場給大家演示和詳細講解了用于對Amazon云環境進行安全測試的工具——nimbostratus。這個工具從測試AWS配置入手,發現多個Amazon安全問題。目前國內的云計算服務商也越來越多,這些云服務提供商的云環境是否足夠安全,今天的議題可能會給國內安全人員更多的思考和實踐。
第二個關于云計算安全的議題是Rob Ragan和Oscar Salazar帶給大家的《CLOUDBOTS:HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主題演講,當計算機犯罪分子開始使用眾多的云服務進行惡意活動的時候,會給我們的社會帶來什么危害。這個主題就是探討利用免費試用云服務的計算能力,存儲和預制黑客攻擊環境。為了注冊免費試用賬戶偽造大量電子郵件地址,然后通過這些郵箱注冊免費試用云服務,繼而通過云環境構建僵尸網絡,這將對傳統防范僵尸網絡的技術帶來嚴峻的挑戰。并且通過免費試用云服務組建僵尸網絡,只是一種方式,還有其它很多攻擊手段可以利用。