Blackhat Europe 2015将于11月10日在荷兰著名港口城市阿姆斯特丹召开。本次大会一共有41个精彩议题,内容包络万象,总有一款是你所喜欢的,件件十元,每件十元,欢迎大家来挑选。转入正题,在本次大会上智能手机再次成为大会主角,来自世界各地的黑客全方位无死角吊打智能手机,接下来为大家预告下相关议题,揣着手机的小伙伴们颤抖吧!
一、BaaS安不安全
智能手机应用往往需要远程存储数据。不过,从开发人员角度来看,创建和维护服务后端是耗时且容易出错。因此,来自亚马逊、 谷歌和 Facebook 后端即服务(BaaS)厂商的商业云存储解决方案大受欢迎。这些厂商提供为通用服务提供简单的API,如管理数据库记录或文件。添加几个库类和几行代码便足以完成云端和App之间的一次交互,如存储信用卡数据。这个模型虽然是方便,但是我们想知道它在实际中是否安全(剧透:当然是不安全)。
研究人员将会演示许多BaaS方案是毫无安全可言,攻击者可以毫不费力地闯入开发人员的服务后端。研究人员调查了大约200 万个Android APP,结果令人相当震惊。利用BaaS方案中严重的配置错误,他们可以访问存储在云端上超过5600 万敏感的用户记录。这些记录包括Android APP处理的各种各样的敏感数据: 医疗信息、 信用卡数据、 照片、 音频和视频记录、资金交易记录等。甚至一些应用程序包含控制远程存储的认证凭据。攻击者可以劫持Amazon S3服务,进而能够修改敏感的客户数据库,将恶意代码添加到知名网站,或在云端上直接运行恶意软件。为发现和验证Android APP中不安全的BaaS解决方案,研究人员研发了自动化漏洞利用生成器,从APP中提取身份凭据,并获得各个BaaS后端的访问权限。
二、Androbugs Framework:新款Android应用漏洞扫描器
AndroBugs Framework是一个免费的Android漏洞分析系统,帮助开发人员或渗透测试人员发现潜在的安全漏洞。在Android系统中,每个应用的安全性是通过为其创建一个独立的Linux用户和组来区分每个应用的权限。当一个恶意App可以通过缺陷或监听网络数据包(如中间人攻击)来窃取窃取合法APP的内部隐私信息时,便存在可利用的安全漏洞。如果攻击者需要获得Root权限(像安装Xposed框架)或物理接触手机才能实施攻击,人们通常不认为它是一个有效的漏洞。
此议题将会演示AndroBugs Framework如何寻找有效的安全漏洞,帮助Android开发人员减少他们的应用被攻击或被“黑掉”的风险。此外,这个系统可以在上百万的APP中快速有效地查找所有可能的潜在安全漏洞。他们已经使用AndroBugs框架在多家公司开发的Android应用或SDK发现安全漏洞,类似Fackbook、推特、雅虎、谷歌安卓、华为、Evernote、阿里巴巴、AT&T和新浪等。而且发现的漏洞已经获得相应公司确认,并出现在厂商致谢榜上。此次演讲将会纰漏一些著名厂商产品中的安全漏洞,作为介绍在AndroBugs中所实现漏洞向量的真实案例。
三、Android备份通道泄露身份认证凭据
认证协议的安全性严重依赖于身份凭据(或authenticators)的机密性,像口令或会话标识。不过,不像基于浏览器的Web应用程序,由高度成熟的浏览器管理身份凭证,Android APP不得不自己实现身份凭据的管理。研究人员发现大多APP只是简单地把身份凭据写入持久性存储,并委托底层Android操作系统进行处理。因此,身份凭据可能经由被攻击的备份通道泄露出去。此次,演讲者在以前被忽视的攻击向量上进行首次系统性的调查。他们发现Google Play上几乎所有数据备份相关APP都允许任何具有互联网和SD卡访问权限的APP访问其备份数据。利用这种泄露方式,恶意APP可以窃取其他APP的身份认证凭据,或获得已认证会话的完全控制权。演讲者通过构建一款名为AuthSniffer漏洞验证(POC) APP,演示攻击可以非常隐蔽有效地进行。同时,他们发现在117款排名靠前的被测APP中,有80款(68.4%)实现的认证方案会受到这种威胁。
四、Android模糊测试:挖掘Android系统组件漏洞的诀窍
该议题重点关注在Android系统多个核心组件内挖掘各种安全漏洞的方法。这个议题着眼于这种方法背后的通用思路,并通过实际发现的漏洞示例,展示这种思路是如何应用到Android系统上的真实目标。经过测试,他们发现一些组件存在漏洞:Stagefright框架、媒体服务进程、Android APK安装进程、installd守护进程、dex20at、ART等。
此次演示会涵盖多个主题,首先从实际的模糊测试过程开始,包括数据/种子生成、测试用例执行、记录和筛选机制、解决类似bug重现的挑战、整理归纳不同的问题以及基于严重性对问题排序。第二部分的讲稿将会讲解基于这个思路开发的多个工具。演讲者将会更多从技术创新角度上探讨工具的实现,以及所发现的问题、发布的CVE记录、以及可能被利用的方式。
五、你的时空信息是否安全?开源设备实施时间和位置欺骗攻击
阿里巴巴安全研究人员发现一种利用低成本软件无线电(SDR)设备实施GPS欺骗的方法,其中iPhone和Apple Watch均受影响。iOS和Android上地图应用同样可以被欺骗,你甚至可以生成Uber位置欺骗信息,从而攻击基于位置的服务(LBS)应用。
接下来,研究人员会检查智能设备使用的其他常见获取定位的方法,例如iBeacon、BLE、WIFI等。同时,研究人员将会展示一个demo,演示如何搜集WIFI SSID数据,然后搭建伪造的WIFI热点来欺骗Android上的WIFI定位系统。最后,研究人员也会给出一些建议来防御这类欺骗攻击。
六、Root检测的糟糕现状
“Root”设备是安全和企业应用程序的一个薄弱环节。因为这些设备已被解锁,用户和应用程序可以获取底层系统的访问权限。用户可以利用Root访问权限,绕过BYOD保护数据的机制。而与此同时,恶意软件也可以借此便利窃取设备上的个人和商业隐私数据。正因如此,安全应用和企业应用往往要识别出“Root”设备,并报告这些设备已受到破坏。
在这个演讲上,研究人员分析最受欢迎的Android安全应用以及市场主流的BYOD解决方案,查明它们如何是识别“Root”设备。他们使用常见开源 Android 逆向框架来剖析上述应用程序,发现攻击者可以轻易绕过这些Root检测。最后,演讲者会展示一个简单工具AndroPoser,征服已发现的所有Root检测方法,从而让被“Root”过的设备看起来是未被“Root”。
总结,随着移动智能设备与人们日常生活和工作结合的越来越紧密,安全威胁无处不在,但对于整个安全行业来讲,处处陷阱,处处机遇嘛。