阿里巴巴的安全实验室有着众多年轻有为的白帽子,最近一段时间,分别受邀在BlackHat、HITB等国际性安全会议上就自己的研究成果发表了演讲。安全牛近日有机会与其中三位白帽进行了交流和沟通。
ARM的设计特点=漏洞?
如果说有一种设计,自身不会造成直接的安全漏洞,但是能被其他漏洞利用产生攻击,这个到底是特点还是漏洞呢?阿里巴巴安全部潘多拉实验室的团控就遇上了这样的情况。
团控是一名90后的安全专家。在这次的大会上,他的分享内容是有关安卓手机的安全隐患。由于安卓8.0新引入的PAN缓解机制,传统的仅仅绕过PXN缓解机制已经不足以攻破安卓8.0系统。在PXN和PAN缓解机制下,内核态无法直接访问用户态的攻击载荷,进一步提供了攻击门槛。在这个情况下,团控打破常规,采取了另一个思路,不通过内核访问数据,而是直接在用户态获取及修改内核数据达成攻击。在这个基础上,团控发现了ARM处理器设计上的特点,使得攻击者能够不借助系统调用,直接在用户状态下读写内核代码或者数据段地址修改内核数据,到达完全控制内核的目的。团控将这个攻击命名为内核空间镜像攻击。
事实上,团控早在安卓7.0时代就已经发现了这个问题,然而在7.0时代,由于有现有并且更简单的方式对安卓进行攻击,这个隐患并不明显。然而,在安卓8.0时代,由于传统攻击方式的失效,更多的攻击者开始寻找新的攻击模式。团控出于谨慎,在Google Pixel 2 XL手机8.0系统验证后,发现新的ARMv8.1处理器仍然存在该隐患。团控表示,尽管在安卓7.0时代曾和高通沟通并提供演示demo,然而厂商认为,在软件或者应用没有问题的情况下,该隐患不会被触发,因此厂商并不认为这是一个漏洞。而出于团控的理解,这个设计上的“特点”依然能被利用。从而产生对安卓系统机器的攻击可能。因此,团控决定通过HITB这个会议,让更多的人了解这个隐患,让厂商能够正视这个潜在威胁,至少在未来的设计当中可以尽量避免留下这类设计特点。
从另一个方面,由于这个隐患同样需要软件或者应用在编写上有漏洞才能触发,因此对开发者也是一个警醒。团控在会议上也演示了攻击安卓8.0手机获取最高权限的demo,从理论上证明了攻击的可能性。这也是在国内外公开场合,首次介绍新一代能够获取绝大多数安卓手机最高权限的通用攻击示例。但团控并不希望这个发现被真实用于攻击,他认为发现漏洞的目的不是为了去攻击,而是为了今后更好的防御,通过整个行业的了解去让产生隐患的厂商去解决被发现的问题。
苹果更具挑战,分享才是未来
蒸米和白小龙在这次的HITB会议上分享了他们在苹果系统上的漏洞发现经历和经验。作为重点,他们介绍了一款名为Ryuk的苹果系统分析工具以及两个内核驱动中的安全性漏洞。
蒸米表示,尽管国内有很多人都在做苹果系统的研究与分析,由于苹果系统本身的封闭性,这个是一个非常困难的工作。而市面上则几乎没有专用于苹果系统的分析工具。因此,他们这次在HITB上分享他们实验室研发的苹果分析工具是业内第一次有研究者公开自己的工具。白小龙认为,安全应该是一个各个公司相互合作,共同前进的模式,不应该闭门造车。因此,尽管他们的开源苹果漏洞辅助分析工具只是一个阶段性成果,但是依然乐于和业内分享,一起改进。
当谈及为什么会做苹果系统的分析,蒸米说是因为苹果的系统更有挑战性。苹果的系统从设计上而言是封闭的系统,而安卓则是开源的 ,因此寻找苹果系统的漏洞与破解本身就比安卓系统更难。另一方面,苹果系统在做用户的信息以及隐私保护方面也确实比安卓做得更好。然而,这不代表安卓系统就不够安全,因为大部分的安卓安全问题是由于用户不及时更新,使得攻击者趁虚而入。而对于苹果系统而言,及时更新也是相当重要的。蒸米提到,苹果系统的漏洞大部分情况是随着版本的更新不断减少的,因此他们的工作也会随着版本的更新而艰难。一般而言,苹果的新漏洞往往是随着苹果的新功能发布或者整个系统的翻新而出现的。因此,他们也愿意分享自己的成果,帮助同行一起前进。
安全牛评
其实很多人都会对黑客感到神秘与好奇,尤其是对每天钻于寻找漏洞的人总有一种不安全感:害怕他们哪天会反过来攻击自己。其实不然,阿里安全实验室的研究专家们和我们一样,都是普通人,无论是团控还是蒸米,都会在闲暇时间打两局Dota,而蒸米更是一名游戏大师。他们和我们一样,都希望着能将安全做到极致。尽管他们的工作是攻击,是寻找漏洞,但初衷是为了帮助厂商更好地提供安全——即使他们没发现,黑产也有可能发现,因此白帽子在做的是和对手赛跑,在对手之前找到问题并解决。同时,他们也意识到自己不能单打独斗,并且乐于分享自己的成果,和同行共同研究进步。这也是我们都希望看到的,一个携手合作、共同迈进的安全产业,一个能做到攻防结合的安全长城。
相关阅读
