Blackhat Europe 2015议题前瞻：当心你的手机

Blackhat Europe 2015将于11月10日在荷兰著名港口城市阿姆斯特丹召开。本次大会一共有41个精彩议题，内容包络万象，总有一款是你所喜欢的，件件十元，每件十元，欢迎大家来挑选。转入正题，在本次大会上智能手机再次成为大会主角，来自世界各地的黑客全方位无死角吊打智能手机，接下来为大家预告下相关议题，揣着手机的小伙伴们颤抖吧!

一、BaaS安不安全

智能手机应用往往需要远程存储数据。不过，从开发人员角度来看，创建和维护服务后端是耗时且容易出错。因此，来自亚马逊、 谷歌和 Facebook 后端即服务(BaaS)厂商的商业云存储解决方案大受欢迎。这些厂商提供为通用服务提供简单的API，如管理数据库记录或文件。添加几个库类和几行代码便足以完成云端和App之间的一次交互，如存储信用卡数据。这个模型虽然是方便，但是我们想知道它在实际中是否安全(剧透：当然是不安全)。

研究人员将会演示许多BaaS方案是毫无安全可言，攻击者可以毫不费力地闯入开发人员的服务后端。研究人员调查了大约200 万个Android APP，结果令人相当震惊。利用BaaS方案中严重的配置错误，他们可以访问存储在云端上超过5600 万敏感的用户记录。这些记录包括Android APP处理的各种各样的敏感数据: 医疗信息、 信用卡数据、 照片、 音频和视频记录、资金交易记录等。甚至一些应用程序包含控制远程存储的认证凭据。攻击者可以劫持Amazon S3服务，进而能够修改敏感的客户数据库，将恶意代码添加到知名网站，或在云端上直接运行恶意软件。为发现和验证Android APP中不安全的BaaS解决方案，研究人员研发了自动化漏洞利用生成器，从APP中提取身份凭据，并获得各个BaaS后端的访问权限。

二、Androbugs Framework：新款Android应用漏洞扫描器

AndroBugs Framework是一个免费的Android漏洞分析系统，帮助开发人员或渗透测试人员发现潜在的安全漏洞。在Android系统中，每个应用的安全性是通过为其创建一个独立的Linux用户和组来区分每个应用的权限。当一个恶意App可以通过缺陷或监听网络数据包(如中间人攻击)来窃取窃取合法APP的内部隐私信息时，便存在可利用的安全漏洞。如果攻击者需要获得Root权限(像安装Xposed框架)或物理接触手机才能实施攻击，人们通常不认为它是一个有效的漏洞。

此议题将会演示AndroBugs Framework如何寻找有效的安全漏洞，帮助Android开发人员减少他们的应用被攻击或被“黑掉”的风险。此外，这个系统可以在上百万的APP中快速有效地查找所有可能的潜在安全漏洞。他们已经使用AndroBugs框架在多家公司开发的Android应用或SDK发现安全漏洞，类似Fackbook、推特、雅虎、谷歌安卓、华为、Evernote、阿里巴巴、AT&T和新浪等。而且发现的漏洞已经获得相应公司确认，并出现在厂商致谢榜上。此次演讲将会纰漏一些著名厂商产品中的安全漏洞，作为介绍在AndroBugs中所实现漏洞向量的真实案例。

三、Android备份通道泄露身份认证凭据

认证协议的安全性严重依赖于身份凭据(或authenticators)的机密性，像口令或会话标识。不过，不像基于浏览器的Web应用程序，由高度成熟的浏览器管理身份凭证，Android APP不得不自己实现身份凭据的管理。研究人员发现大多APP只是简单地把身份凭据写入持久性存储，并委托底层Android操作系统进行处理。因此，身份凭据可能经由被攻击的备份通道泄露出去。此次，演讲者在以前被忽视的攻击向量上进行首次系统性的调查。他们发现Google Play上几乎所有数据备份相关APP都允许任何具有互联网和SD卡访问权限的APP访问其备份数据。利用这种泄露方式，恶意APP可以窃取其他APP的身份认证凭据，或获得已认证会话的完全控制权。演讲者通过构建一款名为AuthSniffer漏洞验证(POC) APP，演示攻击可以非常隐蔽有效地进行。同时，他们发现在117款排名靠前的被测APP中，有80款(68.4%)实现的认证方案会受到这种威胁。

四、Android模糊测试：挖掘Android系统组件漏洞的诀窍

该议题重点关注在Android系统多个核心组件内挖掘各种安全漏洞的方法。这个议题着眼于这种方法背后的通用思路，并通过实际发现的漏洞示例，展示这种思路是如何应用到Android系统上的真实目标。经过测试，他们发现一些组件存在漏洞：Stagefright框架、媒体服务进程、Android APK安装进程、installd守护进程、dex20at、ART等。

此次演示会涵盖多个主题，首先从实际的模糊测试过程开始，包括数据/种子生成、测试用例执行、记录和筛选机制、解决类似bug重现的挑战、整理归纳不同的问题以及基于严重性对问题排序。第二部分的讲稿将会讲解基于这个思路开发的多个工具。演讲者将会更多从技术创新角度上探讨工具的实现，以及所发现的问题、发布的CVE记录、以及可能被利用的方式。

五、你的时空信息是否安全?开源设备实施时间和位置欺骗攻击

阿里巴巴安全研究人员发现一种利用低成本软件无线电(SDR)设备实施GPS欺骗的方法，其中iPhone和Apple Watch均受影响。iOS和Android上地图应用同样可以被欺骗，你甚至可以生成Uber位置欺骗信息，从而攻击基于位置的服务(LBS)应用。

接下来，研究人员会检查智能设备使用的其他常见获取定位的方法，例如iBeacon、BLE、WIFI等。同时，研究人员将会展示一个demo，演示如何搜集WIFI SSID数据，然后搭建伪造的WIFI热点来欺骗Android上的WIFI定位系统。最后，研究人员也会给出一些建议来防御这类欺骗攻击。

六、Root检测的糟糕现状

“Root”设备是安全和企业应用程序的一个薄弱环节。因为这些设备已被解锁，用户和应用程序可以获取底层系统的访问权限。用户可以利用Root访问权限，绕过BYOD保护数据的机制。而与此同时，恶意软件也可以借此便利窃取设备上的个人和商业隐私数据。正因如此，安全应用和企业应用往往要识别出“Root”设备，并报告这些设备已受到破坏。

在这个演讲上，研究人员分析最受欢迎的Android安全应用以及市场主流的BYOD解决方案，查明它们如何是识别“Root”设备。他们使用常见开源 Android 逆向框架来剖析上述应用程序，发现攻击者可以轻易绕过这些Root检测。最后，演讲者会展示一个简单工具AndroPoser，征服已发现的所有Root检测方法，从而让被“Root”过的设备看起来是未被“Root”。

总结，随着移动智能设备与人们日常生活和工作结合的越来越紧密，安全威胁无处不在，但对于整个安全行业来讲，处处陷阱，处处机遇嘛。