工业和信息化部主管 中国电子报社主办
收藏本站投稿

云服务

移动安全论坛揭秘“梯云纵”漏洞”如何攻破谷歌堡垒

全球首场网络安全万人云峰会“第八届互联网安全大会”(简称“ISC 2020”)日前正式启幕,来自中、美、俄、韩、奥、新、以等多国顶级安全智囊、专家、学者突破空间界限,以云端形式跨洋连线,共同探讨“数字孪生时代下的新安全”解决之道。

在8月13日的移动安全论坛上,行业领军人物、技术大咖等嘉宾齐聚“云端”,移动安全联盟秘书长、泰尔终端实验室移动安全团队负责人杨正军,OPPO成都安珀实验室主任周燃,盘古移动应用安全研究负责人唐祝寿,蚂蚁光年实验室安全专家仲花,蚂蚁光年实验室负责人曲和,华为终端安全实验室高级研究员谢海阔、360 Alpha Lab负责人龚广等重磅嘉宾将聚焦移动网络安全领域最前沿、最热议的技术、趋势、理念全景呈现。

移动互联网危机四伏

筑牢安全“基石”迫在眉睫

众所周知,全球互联网互联互通的特性,让平台和软件非单一和孤立,整个网络和运营商后台都是密切相关的,运营商采纳一个国外产品和后台,都势必影响到整个通信运营及其所有客户的信息安全。

唐祝寿聚焦“iOS应用网络服务安全审计”议题,就iOS应用网络服务大规模测量、iOS应用网络服务安全审计等方面进行探讨,提出,要分析iOS应用中的网络服务漏洞,应先利用盘古实验室在iOS应用采集方面的优势,解决iOS应用采集难的问题;然后设计动态分析方法,对iOS应用网络服务库进行分析;最后使用静态分析方法,对iOS应用中的网络服务进行自动分析。而大规模测量表明,网络服务广泛存在于iOS应用生态中,且通过自动分析,可发现iOS应用网络服务大量漏洞。

龚广围绕“梯云纵:远程Root现代安卓设备”这一议题探讨了为何Pixel设备是一个高难度目标,并对Android系统存在的远程攻击面进行分析。同时,介绍了名为“梯云纵”的漏洞利用链概览,并提出,通过该利用,我们能够远程root包括Pixel设备在内,采用高通芯片的大量Android设备。此外,龚广强调,如今Android设备root难度越来越大,而Pixel系列设备通常拥有最新的缓解措施以及系统升级和补丁,可见攻击难度不言而喻。

可见移动互联网危机四伏,从大至国家到小至企业和个人,从固定终端到移动终端领域,传统的网络安全防护早已不适用于大数据时代,全面提高信息安全意识已迫在眉睫。 

杨正军以“移动互联网数据治理研究-数字广告反欺诈研究”为议题,为移动互联网数据造假治理提出了一些解决思路和建议。杨正军表示,各国法律法规逐步加强了数据安全要求,iOS14、Android11等操作系统也都强化了权限控制和数据安全管理,因此亟需产业链各方配合,从法律法规、技术标准、行业自律等方面营造良好的数字经济环境。

基于此,尽快建立健全移动互联网信息安全防护体系,筑牢安全“基石已显得十分迫切及重要。

打铁还需强自身

实力铸就移动安全“铜墙铁壁”

随着互联网技术在社会各个方面的渗透,大量用户的个人信息以数据的形式存储于企业的数据库中,形成数据聚合的“洼地”, 移动互联网安全问题的日益突出,加强移动互联网空间的治理成为当务之急。

谢海阔以“wifi :一扇虚掩的大门 现代智能系统的重要攻击面”为议题,聚焦当前主流wifi芯片厂商的业务领域和近几年的wifi漏洞,分析当前wifi产品的应用和安全情况。同时围绕wifi中的重要概念,详细分析其重要的攻击面以及fuzz思路和发现的典型漏洞,全面剖析wifi的攻击面。谢海阔提出,WiFi无处不在,而STA和AP的接入交互无需用户操作,数量众多的IE将成为重要攻击面,且漏洞位于内核驱动中,攻击危害巨大。

针对“企业级Fuzzing平台建设实践”议题,仲花和曲和两位嘉宾共同进行了“云端”探讨,提出,AntFuzz是基于Rust语言编写的一套高性能模糊测试框架,该框架将当前主流Fuzzing框架能力进行融合,并且添加诸多适合企业级Fuzzing场景的能力支持。需要注意的是,AntFuzz可根据不同应用场景下进行基于框架的快速部署,同时作为框架也提供了丰富的二次开发接口,让安全/测试工程师以最高的效率打造为业务定制化Fuzzing方案。

纵观全球,无论是国家、企业,还是个人,在未来都会面临目的性更明确的移动恶意攻击。对于个人要保障的是隐私不会外泄,对于企业要考虑的是企业利益不蒙受损害,对于国家来说更重要的是国家安全不受威胁。

周燃则以“以信任重构安全-基于去中心技术及终端可信技术的信任方法论”为议题提出,安全行业的三板斧是杀毒,防火墙,入侵检测,只不过在不同场景他们的比重会有不同:经过20多年的发展,很多安全问题却在不同安全场景一再重复出现,行业内除了重复已有方案外,并没有什么方案可以真的解决这些问题,安全行业实际是遇到了瓶颈。近年来可信技术迎来风口,将会提供另一个破题思路。

可见,打铁还需强自身。在高热的移动互联网下,需抱团取暖,完善移动互联网安全生态,共同构筑网络安全“铜墙铁壁“。

据悉,在技术日还有众多重磅嘉宾,共同参与网络空间测绘论坛、漏洞管理与研究论坛、安全开发与测试论坛等多个论坛,超时空云端相聚,探讨移动互联时代网络安全解决之道。

此外,ISC 2020还有产业日和人才日的多个精彩论坛,以及新颖多元的特色栏目接连“炸场”,例如无时区漫游、ISC 夜谈、CXO观点等特色节目,将网络安全行业的最前沿、最热议的技术、趋势、理念全景呈现,云端论剑独到见解精彩不断。

责任编辑:李佳师


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

2020年中国家电市场报告

3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。

世界超高清视频(4K/8K)产业发展大会

会议

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

2020世界VR产业大会云峰会

10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。

世界显示产业大会

本周排行