久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

對于手機控與信息安全黨來說，Black Hat世界頂級黑客大會肯定不容錯過，每次大會都會爆出很多有趣東西，比如本次即將在美國舉行的Black Hat 2015上，“新鮮”安全技術(shù)就已被爆出6個：高安全指紋識別機華為Mate7，將在現(xiàn)場被安全員展示如何被破解;通過Binder通訊機制注入Android系統(tǒng)服務(wù)來升級權(quán)限;以及隱藏在Android心臟里的恐怖代碼等。

指紋識別就安全？華為Mate 7

不要以為手機有指紋識別就安全。在Black Hat 2015大會上，來自360公司的安全研究員申迪，將通過華為Ascend Mate 7手機向大家演示并發(fā)表“利用TrustZone攻擊你信任的核心”主題演講。現(xiàn)場技術(shù)演示后，研究員將直接得到指紋圖像或繞過其他安全功能，破解指紋識別技術(shù)。

華為Mate7的TrustZone技術(shù)擁有安全性極高特性，采用芯片級安全解決方案，支持可信執(zhí)行環(huán)境(TEE)，其中指紋掃描等功能要求高信任度(如非接觸式支付)運行，并且多道加密技術(shù)、華為獨有定制環(huán)境、海思麒麟925處理器等都為安全性能提升不少等級。但即使這樣，黑客依然有辦法破解。申迪將在大會上談?wù)勱P(guān)于TrustZone的開發(fā)、如何在不可靠的可信執(zhí)行環(huán)境中運行shellcode，以及如何Root設(shè)備和禁用最新Android SE。

Binder

Binder本是Android系統(tǒng)進程間通信(IPC)方式之一，但現(xiàn)今利用Binder通訊機制，就能提升Android系統(tǒng)權(quán)限。來自360公司的安全研究員龔廣將在大會上發(fā)表“通過Binder通訊機制注入Android系統(tǒng)服務(wù)來升級權(quán)限”主題演講，首次公開這一新型漏洞，同時公布首個挖掘該種漏洞的Fuzzing工具。

據(jù)悉，該漏洞主要利用Binder通信機制。Binder進程間通信機制一般用于所有不同級別的特權(quán)進程之間，然而黑客利用該漏洞可在通過Binder之前向系統(tǒng)服務(wù)輸入?yún)?shù)時，無需通過驗證。此外在大會現(xiàn)場，龔廣還會詳細說明如何利用該漏洞獲取安卓系統(tǒng)服務(wù)器的許可。

此前，龔廣曾發(fā)現(xiàn)谷歌Android存在的7個漏洞，在經(jīng)過谷歌官方確認(rèn)后，獲得公開致謝。龔廣發(fā)現(xiàn)的7個漏洞已經(jīng)被編入CVE(Common Vulnerabilities & Exposures，相當(dāng)于公共漏洞字典表)，其中兩個則在Android 5.1中被修復(fù)。

中國安全團隊發(fā)現(xiàn)重大漏洞

除了360公司，中國的Keen Team、FireEye兩個團隊也將在大會上發(fā)布安全威脅。Keen Team將公布0day漏洞。這個漏洞讓黑客控制任何Android 4.3版或更新版本的設(shè)備。來自中國FireEye研究人員在安卓當(dāng)前指紋掃描框架中發(fā)現(xiàn)嚴(yán)重了問題，他們將在大會上展示如何通過指紋認(rèn)證劫持手機支付授權(quán)，以及能獲取指紋圖像的指紋傳感器。

除此之外，來自美國CheckPoint軟件技術(shù)有限公司的技術(shù)領(lǐng)導(dǎo)者Avi Bashan和移動威脅防御區(qū)域經(jīng)理Ohad Bobrov將展示如何入侵被運營商和原始設(shè)備制造商認(rèn)證的應(yīng)用程序以獲得設(shè)備控制權(quán)。以色列移動信息安全公司Zimperium研究開發(fā)高級總監(jiān)和Android黑客手冊的作者Joshua Drake，在大會上將發(fā)表“Stagefright：隱藏在Android心臟里的恐怖代碼”的主題演講。

據(jù)了解，BlackHat黑帽大會被公認(rèn)為信息安全行業(yè)的最高盛會，從1997年創(chuàng)辦起，每年7、8月在美國拉斯維加斯召開。今年Black Hat 2015將于8月1日至6日舉行。雖然名為“黑帽”，但實際上是個具有很強技術(shù)性的信息安全會議，參會人員包括各大企業(yè)和政府的研究人員，以及來自世界各地安全廠商和研究組織的優(yōu)秀黑客。