- A+
本次活动的议题是由网秦安全中心安全技术总监郑辉博士带来的:基于安卓移动移动安全的回顾现状和展望
郑辉博士演讲内容如下:(有兴趣的小伙伴也可以到这里 【下载】)
沙龙一开始,spreker先介绍了安卓系统版本、历史,随后指出了安卓目前存在的一系列问题:
厂商预置软件泛滥:
为智能手机预置软件本该是为手机用户提供便利的服务,但在市场机制的作用下,手机生产、销售和服务链上的部分商家盲目追逐经济利益,借机在智能手机中植入大量软件,其中不乏一些劣质软件和恶意软件,这些软件耗电、偷跑流量、恶意吸费、盗取个人信息,以及占用手机大量内存,且无法通过正常途径卸载,给手机用户带来了极大的困扰和安全隐患,也影响了软件市场的正常经营秩序。
开放平台碎片化严重:
在Android设备泛滥或者称之为“碎片化”的今天,我们有各种形状和尺寸的Android智能手机、各个价格范围的Android平板电脑、Android电视机顶盒,甚至是拇指大小的Android加密狗。这是消费者的福音,Android操作系统可以应用在诸多不同品牌的不同设备上,让用户可以从千万台Android设备中挑选自己喜欢的产品,在选择上拥有很大的灵活性,这是其他移动操作系统所不具备的优势。
但不幸的是,随着Android设备的增加,版本、屏幕尺寸、硬件的不同和定制ROM给Android的应用开发者带来了麻烦。应用开发者往往很难开发出一个程序,能适配不同版本、不同屏幕分辨率的众多Android设备,这导致应用开发者对Android平台的热情下降。
平台定制导致漏洞修复难于做到统一及时,编程接口API滥用,软件开发行为自由度高等。
随后,郑博士介绍了国内外安卓漏洞统计的机构、网站,并列举了内核层、Native层、框架层方面的漏洞,并进行了统计。
安卓 Linux exp库
漏洞利用:安卓(root) 苹果越狱
webview漏洞和远控演示
安卓证书验证存在的问题:master漏洞
(听说安卓的masterKey漏洞这几个里边有两个是Cydia作者发现的呢,猜猜是那两个)
fakeID漏洞
完整性验证漏洞
接着郑博士介绍了安卓的病毒历史,并详细XX神器木马
现场演讲视频目前正在整理中,未能去现场的童鞋可关注我们动态,整理完成之后我们会尽快分享给大家
(ps:题外话 现场的小伙伴们扔肥皂、捡肥皂玩得很愉快呢 O(∩_∩)O)
