IDF线下沙龙:基于安卓移动移动安全的回顾现状

  • A+
所属分类:移动安全

t013923804295b91d0a.jpg

本次活动的议题是由网秦安全中心安全技术总监郑辉博士带来的:基于安卓移动移动安全的回顾现状和展望

t01e8e5358ca143556b.jpg

郑辉博士演讲内容如下:(有兴趣的小伙伴也可以到这里 【下载】

t01aa49dac9a0f57529.jpg

沙龙一开始,spreker先介绍了安卓系统版本、历史,随后指出了安卓目前存在的一系列问题:

厂商预置软件泛滥:

为智能手机预置软件本该是为手机用户提供便利的服务,但在市场机制的作用下,手机生产、销售和服务链上的部分商家盲目追逐经济利益,借机在智能手机中植入大量软件,其中不乏一些劣质软件和恶意软件,这些软件耗电、偷跑流量、恶意吸费、盗取个人信息,以及占用手机大量内存,且无法通过正常途径卸载,给手机用户带来了极大的困扰和安全隐患,也影响了软件市场的正常经营秩序。

开放平台碎片化严重:

在Android设备泛滥或者称之为“碎片化”的今天,我们有各种形状和尺寸的Android智能手机、各个价格范围的Android平板电脑、Android电视机顶盒,甚至是拇指大小的Android加密狗。这是消费者的福音,Android操作系统可以应用在诸多不同品牌的不同设备上,让用户可以从千万台Android设备中挑选自己喜欢的产品,在选择上拥有很大的灵活性,这是其他移动操作系统所不具备的优势。

但不幸的是,随着Android设备的增加,版本、屏幕尺寸、硬件的不同和定制ROM给Android的应用开发者带来了麻烦。应用开发者往往很难开发出一个程序,能适配不同版本、不同屏幕分辨率的众多Android设备,这导致应用开发者对Android平台的热情下降。

平台定制导致漏洞修复难于做到统一及时,编程接口API滥用,软件开发行为自由度高等。

随后,郑博士介绍了国内外安卓漏洞统计的机构、网站,并列举了内核层、Native层、框架层方面的漏洞,并进行了统计。

t01d6928c80e776bd6a.jpg

安卓 Linux exp库

t01ebf043121fa7fc7c.jpg

漏洞利用:安卓(root) 苹果越狱

t01088143f3b0e7ea16.jpg

webview漏洞和远控演示

t0133a7cf4f1c6f6f13.jpg

安卓证书验证存在的问题:master漏洞

t0188f751f8f2c1272c.png

t0116802b6a35843457.jpg

(听说安卓的masterKey漏洞这几个里边有两个是Cydia作者发现的呢,猜猜是那两个)

fakeID漏洞

t01a2583f690ae6eba8.png

完整性验证漏洞

t01708bc909b5f8d568.jpg

接着郑博士介绍了安卓的病毒历史,并详细XX神器木马

t01ca4990036d1b39dd.jpg

t016a76af6938388e28.jpg

t01e7ca01af032d4020.jpg

t01d9f180b818d66cda.jpg

t0186dd4bf296153d07.jpg

现场演讲视频目前正在整理中,未能去现场的童鞋可关注我们动态,整理完成之后我们会尽快分享给大家

(ps:题外话 现场的小伙伴们扔肥皂、捡肥皂玩得很愉快呢 O(∩_∩)O)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin