ISC 2020 龔廣：360 Alpha Lab實(shí)力“挖洞”，獨(dú)家揭秘“梯云縱”

　　護(hù)航網(wǎng)絡(luò)安全事件是一個(gè)跟黑客賽跑的過程，而漏洞的發(fā)現(xiàn)和防護(hù)是網(wǎng)絡(luò)空間安全戰(zhàn)場重要的決勝點(diǎn)之一。

　　第八屆互聯(lián)網(wǎng)安全大會 ISC 2020 重磅嘉賓云集，眾多論壇、海量議題，精彩而獨(dú)到的見解不斷。8月13日，360 Alpha Lab負(fù)責(zé)人龔廣在技術(shù)日移動(dòng)安全論壇上，以“梯云縱：遠(yuǎn)程Root現(xiàn)代安卓設(shè)備”為議題，圍繞Google Pixel設(shè)備的安全性、安卓設(shè)備的遠(yuǎn)程攻擊面分析、六次攻破安卓設(shè)備的經(jīng)驗(yàn)分享、梯云縱漏洞鏈概覽、漏洞鏈中三個(gè)漏洞的細(xì)節(jié)、遠(yuǎn)程Root Pixel手機(jī)演示等方面進(jìn)行了深度探討。

　　眾所周知，龔廣所負(fù)責(zé)的團(tuán)隊(duì)是360 安全大腦下的360 Alpha Lab，是由360兩大頂尖團(tuán)隊(duì)Alpha Team 和C0RE Team組建而成，以做安卓系統(tǒng)安全和Chrome瀏覽器安全的漏洞挖掘?yàn)橹�，正是兩大安全團(tuán)隊(duì)強(qiáng)強(qiáng)碰撞的火花，360 Alpha Lab早已戰(zhàn)績累累。就整體而言，360 Alpha Lab已發(fā)現(xiàn) 300+ 安卓系統(tǒng)漏洞(Google Qualcomm 等)，獲得6次黑客大賽冠軍等，還有具體大事件如下：

　　2018年1月，360 Alpha Lab憑著發(fā)現(xiàn)“穿云箭”組合漏洞，拿到Android安全獎(jiǎng)勵(lì)計(jì)劃(ASR)史上最高金額獎(jiǎng)金——112,500美元獎(jiǎng)金，而“穿云箭”漏洞在當(dāng)時(shí)所引起的轟動(dòng)至今仍未平復(fù)。

　　2019年3月，360 Alpha Lab又發(fā)現(xiàn)一枚可以用來ROOT國內(nèi)外主流Android手機(jī)的“內(nèi)核通殺”型漏洞，獲Google發(fā)表公開致謝。

　　2019年11月，360 Alpha Lab發(fā)現(xiàn)了威力更大、影響更廣、獎(jiǎng)金更高的“梯云縱”組合漏洞，并再一次刷新Google史上最高漏洞獎(jiǎng)金紀(jì)錄，并超越了所有廠商所開出的單項(xiàng)漏洞最高獎(jiǎng)勵(lì)。

　　值得一提的是，對安全性極為重視的Google，其親自操刀的Pixel手機(jī)被公認(rèn)為“最難被攻破”的手機(jī)。就連世界最高破解大賽Mobile Pwn2Own，自2017年至2019年，Pixel手機(jī)也是唯一未被破解的項(xiàng)目。并且，Google Pixel不僅僅沒有被攻破，甚至無人報(bào)名挑戰(zhàn)，可見攻破Pixel的難度之大。

　　而在此次論壇中，龔廣立足于多年的挖掘與防護(hù)經(jīng)驗(yàn)，就“梯云縱”漏洞如何被攻破進(jìn)行了多維度分析。龔廣強(qiáng)調(diào)，如今Android設(shè)備root難度越來越大，而Pixel系列設(shè)備通常擁有最新的緩解措施以及系統(tǒng)升級和補(bǔ)丁，其攻擊難度不言而喻。

　　首先，圍繞google的Pixel手機(jī)為什么是一個(gè)艱難的目標(biāo)這一問題，龔廣以安卓跟IOS這兩款移動(dòng)操作系統(tǒng)為例提出：

　　從Zerodium對零點(diǎn)擊FCP漏洞鏈的報(bào)價(jià)來看，安卓似乎比IOS要安全一點(diǎn)，因?yàn)樗麄儗Π沧縁CP的漏洞鏈報(bào)價(jià)是250萬美元，對IOS的是200萬美元。

　　假設(shè)安卓設(shè)備比IOS設(shè)備安全，在安卓設(shè)備里哪個(gè)設(shè)備更加安全一點(diǎn)呢?這方面從最近三年的Mobile Pwn2Own的結(jié)果來做一個(gè)說明。最近三年的Mobile  Pwn2Own的結(jié)果里面，僅僅只有g(shù)oogle的Pixel設(shè)備是唯一一款沒有被攻破的設(shè)備，其他的設(shè)備像蘋果的iPhone被攻破了7次，其他的像三星的galaxy、還有小米都被攻破了多次。

　　隨后，龔廣對安卓設(shè)備的遠(yuǎn)程攻擊面進(jìn)行了分析并提出，安卓設(shè)備遠(yuǎn)程攻擊面簡單分為兩類，一類是通過互聯(lián)網(wǎng)發(fā)起的攻擊，另外一類是通過臨近網(wǎng)絡(luò)發(fā)起的攻擊。通過互聯(lián)網(wǎng)發(fā)起的攻擊一般來說需要一些交互，比如說你需要點(diǎn)擊一個(gè)鏈接，接收一個(gè)郵件或者發(fā)一個(gè)即時(shí)消息，但通過臨近網(wǎng)絡(luò)發(fā)起的攻擊，一般比較容易做到零點(diǎn)擊，臨近網(wǎng)絡(luò)的攻擊有包括像NFC、Wi-Fi、藍(lán)牙等等。

　　多維分析，干貨不斷。龔廣還結(jié)合自身實(shí)戰(zhàn)經(jīng)驗(yàn)，分享了六次在比賽以及漏洞獎(jiǎng)勵(lì)計(jì)劃上攻破安卓手機(jī)的示例及技巧。

　　前三次基本上用的方法比較相似，均是先通過一個(gè)瀏覽器的漏洞獲得了一個(gè)渲染進(jìn)程的權(quán)限，然后把這個(gè)漏洞轉(zhuǎn)化成一個(gè)UXSS漏洞，這樣我們便可以在google play store上，頁面上執(zhí)行任意的JS代碼，也可以從google Play store上安裝任意應(yīng)用，包括惡意應(yīng)用。

　　后來，google加入了一種Site isolattion(站隔離)技術(shù)，這種技術(shù)是不同的站點(diǎn)會運(yùn)行在不同的進(jìn)程里，這也就導(dǎo)致了這種RCE2UXSS的技術(shù)基本上徹底失效。

　　在ASR 2018這兩次的攻破安卓設(shè)備使用的方法也比較類似，均是通過一個(gè)瀏覽器的漏洞鏈，然后通過一個(gè)gralloc模塊里的一個(gè)漏洞鏈，這兩個(gè)漏洞鏈均是可以獲得一個(gè)系統(tǒng)用戶的權(quán)限。

　　可見，關(guān)于“梯云縱”漏洞命名的原因呼之欲出，龔廣提出，它可以通過三個(gè)漏洞輕易的獲取手機(jī)的root權(quán)限。

　　第一個(gè)Chrome渲染進(jìn)程的漏洞，也就是CVE-2019-5877。

　　第二個(gè)是一個(gè)Chrome的GPU進(jìn)程里的一個(gè)漏洞就是CVE-2019-5870。

　　通過這兩個(gè)漏洞我們可以拿到Chrome這個(gè)APP的權(quán)限，但是如果要想拿到內(nèi)核權(quán)限的話還需要另外一個(gè)漏洞的幫助，就是CVE-2019-10567，是高通GPU驅(qū)動(dòng)里面的一個(gè)漏洞。

　　最后，龔廣對RCE 漏洞 CVE-2019-5877、提權(quán)漏洞 CVE-2019-5870、Root 漏洞 CVE-2019-10567分別進(jìn)行了詳細(xì)講解，并進(jìn)行了簡單的Demo展示。

　　基于此，不難發(fā)現(xiàn)作為“梯云縱”漏洞獨(dú)立發(fā)現(xiàn)者的360 Alpha Lab實(shí)力可見。據(jù)了解，去年，360 Alpha Lab在測試中證實(shí)，利用“梯云縱”漏洞鏈可成功繞過Google的安全防護(hù)機(jī)制，順利攻破無堅(jiān)不摧的Pixel 3手機(jī)。而Pixel 3的失陷也意味著，“梯云縱”漏洞幾乎影響所有Android系統(tǒng)和Chrome瀏覽器，若黑客一旦利用即可任意獲取用戶敏感信息，對用戶個(gè)人隱私和財(cái)產(chǎn)造成極大威脅。

　　作為國內(nèi)最大的互聯(lián)網(wǎng)安全公司，360 Alpha Lab率先發(fā)現(xiàn)了該漏洞鏈的存在，確認(rèn)其具體危害和可影響范圍，并在第一時(shí)間將該漏洞提交至Google官方，協(xié)助Google實(shí)現(xiàn)對“梯云縱”漏洞鏈問題的修復(fù)。

　　眾所周知，在大安全時(shí)代，“漏洞”關(guān)乎著企業(yè)自身的安全、品牌的聲譽(yù)以及千千萬萬用戶的切身利益，一旦漏洞被不法分子搶先發(fā)現(xiàn)并利用，其后果不堪設(shè)想。而360安全團(tuán)隊(duì)，憑借著其過硬的實(shí)力，全年無休地守護(hù)著網(wǎng)絡(luò)安全，與惡勢力賽跑，幫助各大企業(yè)廠商不斷完善系統(tǒng)安全，努力為廣大用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

　　據(jù)悉，ISC 2020技術(shù)日期間精彩不斷，全球頂尖嘉賓接連聚焦熱點(diǎn)、難點(diǎn)問題，共謀網(wǎng)路安全發(fā)展之道，還有安全開發(fā)與測試、XDR分析檢測、漏洞管理與研究、移動(dòng)安全等多個(gè)分論壇同步上線。未來幾天，ISC2020產(chǎn)業(yè)日、人才日等主題日將陸續(xù)開啟，還有ISC夜談、ISC Talk、CXO等特色活動(dòng)持續(xù)開播， 為永不落幕的安全大會注入最前沿、最專業(yè)的基石。