護(hù)航網(wǎng)絡(luò)安全事件是一個跟黑客賽跑的過程�,而漏洞的發(fā)現(xiàn)和防護(hù)是網(wǎng)絡(luò)空間安全戰(zhàn)場重要的決勝點之一。
第八屆互聯(lián)網(wǎng)安全大會 ISC 2020 重磅嘉賓云集�,眾多論壇、海量議題,精彩而獨到的見解不斷�。8月13日,360 Alpha Lab負(fù)責(zé)人龔廣在技術(shù)日移動安全論壇上����,以“梯云縱:遠(yuǎn)程Root現(xiàn)代安卓設(shè)備”為議題,圍繞Google Pixel設(shè)備的安全性��、安卓設(shè)備的遠(yuǎn)程攻擊面分析����、六次攻破安卓設(shè)備的經(jīng)驗分享、梯云縱漏洞鏈概覽���、漏洞鏈中三個漏洞的細(xì)節(jié)���、遠(yuǎn)程Root Pixel手機(jī)演示等方面進(jìn)行了深度探討。
眾所周知�,龔廣所負(fù)責(zé)的團(tuán)隊是360 安全大腦下的360 Alpha Lab,是由360兩大頂尖團(tuán)隊Alpha Team 和C0RE Team組建而成����,以做安卓系統(tǒng)安全和Chrome瀏覽器安全的漏洞挖掘為主,正是兩大安全團(tuán)隊強(qiáng)強(qiáng)碰撞的火花�,360 Alpha Lab早已戰(zhàn)績累累。就整體而言,360 Alpha Lab已發(fā)現(xiàn) 300+ 安卓系統(tǒng)漏洞(Google Qualcomm 等)�,獲得6次黑客大賽冠軍等,還有具體大事件如下:
2018年1月���,360 Alpha Lab憑著發(fā)現(xiàn)“穿云箭”組合漏洞���,拿到Android安全獎勵計劃(ASR)史上最高金額獎金——112,500美元獎金,而“穿云箭”漏洞在當(dāng)時所引起的轟動至今仍未平復(fù)�。
2019年3月,360 Alpha Lab又發(fā)現(xiàn)一枚可以用來ROOT國內(nèi)外主流Android手機(jī)的“內(nèi)核通殺”型漏洞����,獲Google發(fā)表公開致謝���。
2019年11月���,360 Alpha Lab發(fā)現(xiàn)了威力更大、影響更廣��、獎金更高的“梯云縱”組合漏洞�����,并再一次刷新Google史上最高漏洞獎金紀(jì)錄,并超越了所有廠商所開出的單項漏洞最高獎勵�����。
值得一提的是�,對安全性極為重視的Google,其親自操刀的Pixel手機(jī)被公認(rèn)為“最難被攻破”的手機(jī)�。就連世界最高破解大賽Mobile Pwn2Own,自2017年至2019年����,Pixel手機(jī)也是唯一未被破解的項目。并且�����,Google Pixel不僅僅沒有被攻破��,甚至無人報名挑戰(zhàn)����,可見攻破Pixel的難度之大。
而在此次論壇中���,龔廣立足于多年的挖掘與防護(hù)經(jīng)驗���,就“梯云縱”漏洞如何被攻破進(jìn)行了多維度分析����。龔廣強(qiáng)調(diào)����,如今Android設(shè)備root難度越來越大,而Pixel系列設(shè)備通常擁有最新的緩解措施以及系統(tǒng)升級和補(bǔ)丁���,其攻擊難度不言而喻�����。
首先�����,圍繞google的Pixel手機(jī)為什么是一個艱難的目標(biāo)這一問題,龔廣以安卓跟IOS這兩款移動操作系統(tǒng)為例提出:
從Zerodium對零點擊FCP漏洞鏈的報價來看�,安卓似乎比IOS要安全一點,因為他們對安卓FCP的漏洞鏈報價是250萬美元���,對IOS的是200萬美元����。
假設(shè)安卓設(shè)備比IOS設(shè)備安全,在安卓設(shè)備里哪個設(shè)備更加安全一點呢?這方面從最近三年的Mobile Pwn2Own的結(jié)果來做一個說明�。最近三年的Mobile Pwn2Own的結(jié)果里面,僅僅只有g(shù)oogle的Pixel設(shè)備是唯一一款沒有被攻破的設(shè)備�����,其他的設(shè)備像蘋果的iPhone被攻破了7次���,其他的像三星的galaxy��、還有小米都被攻破了多次����。
隨后�����,龔廣對安卓設(shè)備的遠(yuǎn)程攻擊面進(jìn)行了分析并提出�����,安卓設(shè)備遠(yuǎn)程攻擊面簡單分為兩類�����,一類是通過互聯(lián)網(wǎng)發(fā)起的攻擊,另外一類是通過臨近網(wǎng)絡(luò)發(fā)起的攻擊��。通過互聯(lián)網(wǎng)發(fā)起的攻擊一般來說需要一些交互����,比如說你需要點擊一個鏈接,接收一個郵件或者發(fā)一個即時消息�����,但通過臨近網(wǎng)絡(luò)發(fā)起的攻擊�����,一般比較容易做到零點擊���,臨近網(wǎng)絡(luò)的攻擊有包括像NFC����、Wi-Fi�����、藍(lán)牙等等�����。
多維分析����,干貨不斷。龔廣還結(jié)合自身實戰(zhàn)經(jīng)驗�,分享了六次在比賽以及漏洞獎勵計劃上攻破安卓手機(jī)的示例及技巧。
前三次基本上用的方法比較相似����,均是先通過一個瀏覽器的漏洞獲得了一個渲染進(jìn)程的權(quán)限,然后把這個漏洞轉(zhuǎn)化成一個UXSS漏洞�,這樣我們便可以在google play store上,頁面上執(zhí)行任意的JS代碼��,也可以從google Play store上安裝任意應(yīng)用�����,包括惡意應(yīng)用�。
后來,google加入了一種Site isolattion(站隔離)技術(shù)��,這種技術(shù)是不同的站點會運行在不同的進(jìn)程里,這也就導(dǎo)致了這種RCE2UXSS的技術(shù)基本上徹底失效��。
在ASR 2018這兩次的攻破安卓設(shè)備使用的方法也比較類似��,均是通過一個瀏覽器的漏洞鏈����,然后通過一個gralloc模塊里的一個漏洞鏈,這兩個漏洞鏈均是可以獲得一個系統(tǒng)用戶的權(quán)限���。
可見�����,關(guān)于“梯云縱”漏洞命名的原因呼之欲出��,龔廣提出��,它可以通過三個漏洞輕易的獲取手機(jī)的root權(quán)限���。
第一個Chrome渲染進(jìn)程的漏洞,也就是CVE-2019-5877���。
第二個是一個Chrome的GPU進(jìn)程里的一個漏洞就是CVE-2019-5870�。
通過這兩個漏洞我們可以拿到Chrome這個APP的權(quán)限����,但是如果要想拿到內(nèi)核權(quán)限的話還需要另外一個漏洞的幫助,就是CVE-2019-10567����,是高通GPU驅(qū)動里面的一個漏洞。
最后��,龔廣對RCE 漏洞 CVE-2019-5877���、提權(quán)漏洞 CVE-2019-5870��、Root 漏洞 CVE-2019-10567分別進(jìn)行了詳細(xì)講解����,并進(jìn)行了簡單的Demo展示��。
基于此����,不難發(fā)現(xiàn)作為“梯云縱”漏洞獨立發(fā)現(xiàn)者的360 Alpha Lab實力可見。據(jù)了解,去年���,360 Alpha Lab在測試中證實�,利用“梯云縱”漏洞鏈可成功繞過Google的安全防護(hù)機(jī)制��,順利攻破無堅不摧的Pixel 3手機(jī)�。而Pixel 3的失陷也意味著,“梯云縱”漏洞幾乎影響所有Android系統(tǒng)和Chrome瀏覽器���,若黑客一旦利用即可任意獲取用戶敏感信息���,對用戶個人隱私和財產(chǎn)造成極大威脅。
作為國內(nèi)最大的互聯(lián)網(wǎng)安全公司����,360 Alpha Lab率先發(fā)現(xiàn)了該漏洞鏈的存在,確認(rèn)其具體危害和可影響范圍����,并在第一時間將該漏洞提交至Google官方,協(xié)助Google實現(xiàn)對“梯云縱”漏洞鏈問題的修復(fù)�。
眾所周知,在大安全時代����,“漏洞”關(guān)乎著企業(yè)自身的安全�����、品牌的聲譽(yù)以及千千萬萬用戶的切身利益,一旦漏洞被不法分子搶先發(fā)現(xiàn)并利用�,其后果不堪設(shè)想。而360安全團(tuán)隊���,憑借著其過硬的實力���,全年無休地守護(hù)著網(wǎng)絡(luò)安全,與惡勢力賽跑�����,幫助各大企業(yè)廠商不斷完善系統(tǒng)安全��,努力為廣大用戶提供一個安全的網(wǎng)絡(luò)環(huán)境��。
據(jù)悉��,ISC 2020技術(shù)日期間精彩不斷���,全球頂尖嘉賓接連聚焦熱點����、難點問題,共謀網(wǎng)路安全發(fā)展之道�����,還有安全開發(fā)與測試����、XDR分析檢測、漏洞管理與研究�、移動安全等多個分論壇同步上線。未來幾天�,ISC2020產(chǎn)業(yè)日、人才日等主題日將陸續(xù)開啟���,還有ISC夜談���、ISC Talk、CXO等特色活動持續(xù)開播��, 為永不落幕的安全大會注入最前沿��、最專業(yè)的基石。
京公網(wǎng)安備 11010502041587號