您现在的位置:首页 >> 新•资讯 >> 正文
全球安全盛会PacSec:360手机卫士技术大牛公布安卓漏洞挖掘工具
发表时间:2015年11月13日 17:10 来源:新科技 责任编辑:编 辑:麒麟

2015年11月11日到12日,世界级IT安全盛会PacSec会议在日本东京举行,世界范围内的黑客团队以及安全届大咖齐聚东京较量进行一番较量。刚刚在Pwn2Own赛场攻破Nexus 6手机的360手机卫士团队安全研究员龚广参加了PacSec会议并发表演讲。

1:360安全研究员龚广在PacSec会议上发表演讲 PacSec会议作为世界级IT安全盛会,每年都会吸引全球著名安全公司、安全专家、独立安全研究员等前来参会。11月12日,360手机安全研究员龚广也参加了此次会议,并发表题为《Android系统服务漏洞的挖掘与利用》的演讲。

360手机安全研究员龚广表示,在Android系统中,用户安装的应用程序都运行在一个被沙箱保护的进程中,拥有较少的用户权限,而Android系统服务进程则拥有更多、更高权限。其中,binder是Android中的进程间通信机制,不仅用于应用程序之间的通信,也用于低权限的应用程序与高权限的系统服务之间的通信。但因为对传递来的参数校验不严格,Android系统服务由此成为一个比较薄弱的攻击界面。

在此次PacSec会议中,360手机安全员龚广就Android系统服务攻击界面进行详细介绍。据悉,龚广在演讲中详细介绍了如何通过此类型漏洞获得Android权限,更令人期待的是,龚广还公布了一个挖掘此类漏洞的工具。

而在演讲前一天,360手机安全研究员龚广在Pwn2Own比赛有关移动安全的挑战中,一举攻破安卓Nexus 6系统,成为赛场唯一一位成功攻破N6手机的白帽黑客。PacSec的组织者Dragos Ruiu也邀请龚广,一起出席明年三月的CanSecWest安全会议。

2:360安全研究员龚广与PacSec的组织者Dragos Ruiu合影 据了解,龚广在加入360之前,曾在VMware从事软件开发工作。主要研究Windows内核、Windows rootkits、虚拟化与云计算技术等。主要集中于移动安全领域的研究,重在Android系统漏洞的挖掘与利用。

由于Android系统先天具备的开放性,在安全防护方面有些许不足。WormHole虫洞漏洞、Android5.0屏幕录制漏洞、Stagefright 2.0漏洞等近期发现的Android系统漏洞均可影响上亿部手机,谷歌公司也加大了对于世界范围安全漏洞提交的鼓励。其中,中国安全行业的技术能力正在被全球所瞩目。

迄今为止,360手机安全员龚广已发现了10个Android系统漏洞和数十个系统服务崩溃,发现的漏洞都已经获得Google承认并分配了CVE号。由于发现多个Android漏洞,龚广今年已经三度获得Android安全团队的致谢。而本次龚广提交的Android漏洞,也再次证明了国内网络安全技术水平。

本次会议是PacSec召开的第13届大会,每年来自全球各国的顶级互联网安全专家都会在这里展示最前沿的研究成果与技术理念,分享当前的安全流行趋势,以及各安全领域的最新研究成果。

相关文章
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备15027068号】
Copyright © 2015 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。