微信、手機(jī)QQ����、QQ空間、京東等APP都是我們經(jīng)常使用的����,在沒(méi)有遭遇山寨�����、沒(méi)有遇到病毒的情況下���,可能掃一下二維碼或者點(diǎn)了一下朋友圈鏈接就能自動(dòng)轉(zhuǎn)賬、發(fā)紅包?是的��,BadKernel漏洞讓這一切變成可能。
11月25日�,在今年安全圈最后一次黑客大會(huì)���,2016 SyScan360國(guó)際前瞻信息安全會(huì)議上,360手機(jī)衛(wèi)士安全研究員龔廣和鄧袁就為與會(huì)嘉賓解析了BadKernel這個(gè)曾引發(fā)全球關(guān)注��、影響數(shù)億用戶的漏洞��。
圖1:360手機(jī)衛(wèi)士安全研究員在SyScan360發(fā)表演講
360手機(jī)衛(wèi)士安全研究員SyScan360解析影響數(shù)億用戶漏洞
今年8月����,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)首家發(fā)現(xiàn)了BadKernel漏洞�,并向谷歌提交了相關(guān)報(bào)告��。據(jù)報(bào)道,漏洞存在于V8瀏覽器引擎特定版本中�����,由于騰訊的X5內(nèi)核是基于存在漏洞版本的V8引擎定制的�,所有使用了X5內(nèi)核的應(yīng)用都可能受到此漏洞的影響��,引起了國(guó)內(nèi)外媒體以及安全公司的廣泛關(guān)注�����。
圖2:BadKernel漏洞受?chē)?guó)內(nèi)外媒體廣泛關(guān)注
此次2016 SyScan360上,360手機(jī)衛(wèi)士安全研究員龔廣和鄧袁再次為與會(huì)嘉賓深度解析了BadKernel漏洞�����。實(shí)際上��,BadKernel漏洞是由于源代碼中的一個(gè)筆誤而造成的,容易導(dǎo)致關(guān)鍵對(duì)象信息泄露�����,從而進(jìn)一步導(dǎo)致任意代碼執(zhí)行����。因Chrome V8 作為開(kāi)源的高性能 JS 引擎��,幾乎壟斷了整個(gè) App 市場(chǎng)����,成為網(wǎng)頁(yè)瀏覽必不可少的組件�����,該漏洞的存在也影響甚廣。
圖3:360阿爾法團(tuán)隊(duì)安全研究員龔廣介紹BadKernel漏洞影響
Chrome Mobile�����、Opera Mobile��,以及基于 Android 4.4.4 至 5.1 版本系統(tǒng)的 WebView 控件開(kāi)發(fā)的手機(jī) App 均可能受該漏洞影響,普遍存在于包括 LG����、三星�����、摩托羅拉���、華為、HTC 等大部分熱門(mén)手機(jī)中�。據(jù)估算�,全球大約每十六臺(tái) Android 手機(jī)中����,就有一臺(tái)受到 BadKernel 漏洞影響��。微信、手機(jī)QQ�、QQ空間、京東����、58同城���、搜狐視頻、新浪新聞等使用了 X5 內(nèi)核的應(yīng)用也受到威脅��,直接影響到數(shù)億用戶的安全���。演講中�,360手機(jī)衛(wèi)士安全研究員還同時(shí)介紹了JavaScript 的一些容易被攻擊的特性以及V8 的分析調(diào)試技巧,為與會(huì)嘉賓帶來(lái)實(shí)用干貨�。
360手機(jī)衛(wèi)士團(tuán)隊(duì)屢獲佳績(jī) 讓手機(jī)上網(wǎng)更安全
據(jù)悉�,此次出席SyScan360的兩位安全研究員均隸屬于360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)���。近年來(lái)�,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)成員在BlackHat、CanSecWest�����、 SysCan360、PHDays���、MOSEC、PacSec等國(guó)際安全會(huì)議上發(fā)表過(guò)議題演講;并于Pwnfest上全球首破Pixel����、在Pwn2Own 2016上成功攻破 Chrome 瀏覽器��,在Pwn0Rama 2016上成功攻破 Nexus 6p手機(jī),在Pwn2own Mobile 2015上成功攻破Nexus 6手機(jī)��。
圖4: 360 手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)成功破解pixel xl手機(jī)
同時(shí)����,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)致力于為手機(jī)衛(wèi)士提供安全研究支持和成果轉(zhuǎn)化��,致力于Android系統(tǒng)漏洞以及移動(dòng)瀏覽器漏洞的挖掘與利用����。迄今為止���,阿爾法團(tuán)隊(duì)已發(fā)現(xiàn)28個(gè)漏洞����,累計(jì)獲得Google公開(kāi)致謝13次���,也是歷屆黑客大賽的“大滿貫”團(tuán)隊(duì)。
本屆2016 SyScan360大會(huì)的議題涵蓋了Mac OS ���、iOS ��、醫(yī)療物聯(lián)網(wǎng)設(shè)備安全、windows 內(nèi)核安全�、最新的瀏覽器攻擊技術(shù)����、銀行安全�、芯片安全�,php安全��、惡意軟件分類、數(shù)字電視安全�����、汽車(chē)安全等等��。亦如大會(huì)舉辦方初衷,360手機(jī)衛(wèi)士團(tuán)隊(duì)不斷的挖掘與利用系統(tǒng)漏洞����,就是希望手機(jī)使用環(huán)境更安全�。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待����。投資者據(jù)此操作����,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號(hào)