Infiltrate2019议题学习

Infiltrate2019安全大会是在5月初举办的，会议资料收集后放在电脑上1个多月了，连续几个周末都有事，一直没来得及学习，今天刚好学习下，有些议题其实跟MOSEC上有重复。

重点聊几个个人感兴趣的议题，并最后附上10个议题ppt资料下载。

2PAC 2Furious Envisioning an iOS

科恩出品，分两部分：PAC绕过与基带研究，刚好在MOSEC上project zero的人讲了5种PAC绕过方法，议题名叫”A study in PAC”，涵盖了其中的方法，而基带研究部分也作为独立议题在MOSEC上分享过，介绍 基带攻击方法、逆向分析固件的方法。

之前在MOSEC上，我对5种PAC绕过方法作了学习笔记，直接上图：

EL3 Tour - Get The Ultimate Privilege of Android Phone

盘古出品，拿华为P20开刀，应该是手工逆向分析TEE相关代码，挖到一个代码执行漏洞攻击EL3的过程。

通过VBAR_EL+0x400的异常处理例程来定位SMC处理例程：

漏洞代码：

对方的漏洞利用思路：

1. 通过漏洞实现任意内存读写

2. 布署 Shellcode 于地址 0x209F8000（EL1下可访问，属于共享内存）

3. 篡改 Page Descriptior : 0x209F8627 => 0x209F8783（可执行）

4. TLBI ALLEL3：清除TLB缓存，保持数据一致，使页表修改可被CPU感知到

5. 调用 0x209F8000，触发shellcode执行

最后演示如何利用该漏洞绕过华为手机的人脸验证，包括篡改人脸匹配分值、活体检测结果。

Adventures in Video Conferencing

Project Zero以前在其博客上分享过，看博文会更清晰一些，详见：

Adventures in Video Conferencing Part 1: The Wild World of WebRTC

Adventures in Video Conferencing Part 2: Fun with FaceTime

Adventures in Video Conferencing Part 3: The Even Wilder World of WhatsApp

Adventures in Video Conferencing Part 4: What Didn’t Work Out with WhatsApp

Adventures in Video Conferencing Part 5: Where Do We Go from Here?

Natalie Silvanovich 作为PZ的头牌女黑客，在此议题的厉害之处就是用了几行fuzz代码挖了包括浏览器、FaceTime、WhatsApp在内的主流应用10多个CVE远程漏洞。就是下面这段代码：

通过分析视频交互过程，找到外部数据传递的关键点，开源的改代码插入fuzz，闭源的写Hook去实现fuzz，相关的 工具 也已在GitHub上开源： https://github.com/googleprojectzero/Street-Party。之前看到国内也有人顺势搞到几个FaceTime的漏洞。

TEE Exploitation: Exploiting Trusted Apps on Samsung’s TEE

Blue Frost Security出品，举了几个三星漏洞的例子：

1. TA的栈溢出案例：由于只有NX(没有栈保护和ASLR)，所以直接上ROP搞定的
2. 共享内存Double Fectch漏洞：TA在验证和使用命令数据的时间窗口内，可能被篡改数据，实现任意读写

由于缺乏一些常见的内存保护机制（仅有NX），在TA利用上反而更加容易。TA攻破后，对于厂商最大的影响可能是DRM版权与支付密钥等问题；而对于用户而言，主要是用户数据的窃取问题。