直击黑帽大会第一天:HTTPS再爆风险,安卓系统欺骗认证严重性史无前例

一年一度的BlackHat大会于北京时间8月7日凌晨在美国内华达州拉斯维加斯召开。安恒信息总裁范渊率领安全技术达人们亲临现场,与来自世界各国的网络安全专家进行深入的探讨和交流。

未来几天,小安会陆续整理我们在BlackHat大会上的见面,以飨读者。

移动安全是今年BlackHat大会一个重要议题,有关移动安全方面的议题很多,今日大会第一天,HTTPS再爆风险,安卓系统欺骗认证严重性史无前例。下面挑选几个比较具有代表性的议题供大家参考。

AndroidFakeID 漏洞

之前网上已经公布了FakeID的漏洞,但没有公布具体的细节。而这次漏洞的发现者Jeff为我们讲解了攻击的原理。利用证书链认证的安全问题,绕过了证书的校验,并能覆盖掉之前安全的应用。Jeff在现场为大家做了演示: poc没有申请任何权限,最后获得了一个远程控制的shell, 完全控制了android操作系统。

TrustZone的安全问题

ARM TrustZone 技术是系统范围的安全方法,针对高性能计算平台上的大量应用,包括安全支付、数字版权管理 (DRM)、企业服务和基于 Web 的服务。 TrustZone 技术与 Cortex™-A 处理器紧密集成,并通过 AMBA® AXI 总线和特定的TrustZone 系统 IP 块在系统中进行扩展。此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设,从而可确保它们免遭软件攻击。而手机大量使用arm芯片,都会存在这样的问题。演讲者利用一个整型溢出漏洞成功的修改了特定内存的数据,成功攻击了TrustZone, 并解锁了android 的bootloader。

移动设备管理软件可以访问广泛的数据,而这可能会因为MDM产品中的漏洞而遭到泄漏。NTT COM Security公司研究人员Stephen Breen展示了如何执行这种攻击,并且列出了允许这种漏洞利用的漏洞。他表示,有些漏洞在一些商业MDM产品中非常常见。

此外,Google glass作为新兴的产品,很受关注,其中一个议题《my google glass see your password》讲述了应用程序可以诱使视频用户输入密码到触摸屏,并对其分析以窃取密码,其原理并不复杂,但思路很有趣,利用googleglass的拍照摄像功能获取按键的视频,然后通过视频处理的方式获得对应的按键从而获得ipad等设备的解锁密码。并且据说在2m内的成功率100%,3m内的成功率也有80%-90%。

云计算是当下最热门IT技术之一,关于云计算的安全这两年也是业内非常重视的热点之一。在今年的Blackhat第一天的会议上就有两个关于云计算安全的议题。

第一个议题是来自w3af的Andres Riancho给大家带来了《PIVOTING IN AMAZON CLOUDS》主题演讲,针对目前越来越多的应用程序被部署到Amazon云上,那Amazon云基础平台是否安全?传统的安全测试手段是否适用云计算平台测试?Andres Riancho给大家的答案是否定的。Andres Riancho在现场给大家演示和详细讲解了用于对Amazon云环境进行安全测试的工具——nimbostratus。这个工具从测试AWS配置入手,发现多个Amazon安全问题。目前国内的云计算服务商也越来越多,这些云服务提供商的云环境是否足够安全,今天的议题可能会给国内安全人员更多的思考和实践。

第二个关于云计算安全的议题是Rob Ragan和Oscar Salazar带给大家的《CLOUDBOTS: HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主题演讲,当计算机犯罪分子开始使用众多的云服务进行恶意活动的时候,会给我们的社会带来什么危害。这个主题就是探讨利用免费试用云服务的计算能力,存储和预制黑客攻击环境。为了注册免费试用账户伪造大量电子邮件地址,然后通过这些邮箱注册免费试用云服务,继而通过云环境构建僵尸网络,这将对传统防范僵尸网络的技术带来严峻的挑战。并且通过免费试用云服务组建僵尸网络,只是一种方式,还有其它很多攻击手段可以利用。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-08-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

大数据安全保护思考

大数据安全保护思考 随着大数据时代的来临,企业数据开始激增,各种数据在云端、移动设备、关系型数据库、大数据库平台、pc端、采集器端等多个位置分散。对数据安全来说...

26290
来自专栏云计算D1net

解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性...

31350
来自专栏CSDN技术头条

各个程序语言对应的薪资是多少?美国编程语言薪资排行一览

需求情况 根据你熟悉的编程语言找到工作的可能性有多大?以下是来自美国机构的工作趋势: ? 可以看到,C,SQL,Java 和 JavaScript 在招聘启事中...

24080
来自专栏FreeBuf

反编译分析吃鸡辅助器外挂:无外挂功能,疑诈骗钱财

腾讯移动安全实验室APP威胁情报项目组发现一个吃鸡辅助器的欺诈样本,用户需支付一定金额开启外挂功能,但该样本本身并没有外挂功能。因涉及诈骗用户钱财,建议关注。...

21570

制造商的物联网之旅:概念,生产及超越

许多关于物联网的文章都侧重于收集数据见解,但很少有人能够解释物联网发展之旅本身。如果公司了解最佳应用以及如何辨别潜在的障碍,那么探索硬件物联化方式并开始生成数据...

23740
来自专栏企鹅号快讯

微信年终放大招!小程序再次升级,这个功能超想要!

昨日,微信迎来了6.6.1新版本,这次主要在小程序上发力。 微信iOS版更新至6.6.1,在新版本的开屏页中,出现了一款小游戏——“跳一跳”。 ? 除了这个“跳...

24080
来自专栏数据和云

“去O”不如“减O”

去IOE的话题最近很火,而来自四川电信的客户访问,其中有一段颇有借鉴意义:去“O”不如减“O”。 我可以稍微总结一下: 时至今日,Oracle数据库仍然是最好的...

33660
来自专栏新智元

Facebook 20 亿用户数据均可能泄露,扎克伯格仍不打算辞职

13340
来自专栏网络安全防护

“双十一”、“双十二”大促期间,如何防止网站崩溃?

“双十一”、“双十二”期间是所有电商行业的流量高峰期,作为一个电商网站,如果不能保障流畅运行,将会对企业造成巨大的经济损失。回顾去年天猫“双十一”,当天日活跃用...

16100
来自专栏BestSDK

Google Assistant SDK:新增多项自定义功能,支持本土化附近服务

Google助手的软件开发工具包(SDK)正在扩展到其他国家,包括澳大利亚,加拿大,德国,日本和英国。 ? 根据Google的博客文章,作为扩展的一部分,Goo...

43840

扫码关注云+社区

领取腾讯云代金券