1024 开场视频 · 和GEEKCON一起,探寻真实
GEEKCON 2024 上海站于10月24日闭幕。
日常的短信,会不可信吗?
黑客真的可以远程💥掉手机吗?
还有上市企业把用户当牟利工具吗?
安全还是个好行业吗?
…………
在这场纯粹的技术深潜中,我们共同探索了安全的边界与真实的力量。
感谢所有嘉宾、组委、选手、观众及合作伙伴的支持,是你们,让默默无闻的安全价值变得可见。每一次破解与挑战,不仅是技术的突破,更是对健康安全生态的推动。
知识,就是力量。DARKNAVY首期深蓝特训“移动安全漏洞对抗专场”,将HarmonyOS Next、Android、iOS等移动平台漏洞利用与对抗知识,传递给更多白帽。
通常的诈骗短信来自于陌生号码,但如果你接收到一个来自于银行官方或者熟人号码的短信,你会怀疑内容的真实性吗?在本项挑战中,Spreader小分队和清华大学Redbud小队的选手们在不使用任何外置硬件的情况下,成功利用运营商未知缺陷发起远程攻击,以任意指定11位号码成功向“受害者”发送了“诈骗”短信。Redbud小队的选手们还完成了短号短信的伪造。本项目所涉及的未公开漏洞,目前已由选手负责任披露给相关部门进行修复。
还记得去年特别披露的厂商作的恶吗?今年,侵害消费者权益的作恶阵营里,又有“新玩家”了。
24日上午,首个“年度捍卫者”奖和“年度鲱鱼奖”现场揭晓。一位“不愿透露姓名”的捍卫者向大家披露了一场无声的安全对抗,揭示某上市企业APP利用隐蔽黑客手段侵犯消费者权益的现象。目前该APP的恶意行为仍在影响数以千万计的终端用户,GEEKCON呼吁全行业共同捍卫健康的移动生态,停止利用黑客技术进行的侵害行为,还消费者安全。
24日上午的挑战中,来自“安全脉脉”团队的选手们利用未知缺陷,在仅获取车架号的情况下,三分钟内即远程控制了某品牌的新能源汽车,不仅实现了远程打开车门,还将汽车的远程启动开走,成功完成挑战。GEEKCON 2014年首次挑战特斯拉以来,十年间有数十个智能网联车品牌在GEEKCON现场被成功挑战,虽然我们见证了车联网安全的进步,但车联网行业安全性良莠不齐的情况依然值得我们重视。本项挑战所涉及未公开缺陷,目前已由选手负责任披露给厂商进行修复。
How to Fuzz Your Way to Android Universal Root: Attacking Android Binder
Google Android Red Team(美国)成员通过使用LKL(Linux Kernel Library),发现了Binder驱动中的两个重要漏洞(CVE-2023-20938和CVE-2023-21255),还详细阐述了如何利用CVE-2023-20938从Untrusted Android应用获取root权限,同时展示了跨缓存攻击技术,并讨论了Android内核当前的缓解措施以及未来的安全强化策略。
“深蓝洞察”,自2023年初由DARKNAVY·深蓝首发以来,通过公开发布的数十篇安全对抗领域的漏洞预警、深度分析、特别披露和AVSS专业研判报告,深刻推动了行业生态的健康发展。24日上午,DARKNAVY研究员詹云帆在GEEKCON现场,正式预告“深蓝洞察”2025订阅版和专业版的发布。作为“深蓝洞察”专业版的案例展示之一,DARKNAVY研究员陈星宇也为我们展示由于AI时代的到来引入的全新安全漏洞。
黎巴嫩BP机安全事件以来,手机电池的安全问题备受关注。本届GEEKCON特设IoT电池安全特别挑战赛,DARKNAVY的技术组委通过现场实验展示黑客引发电池爆炸所需要的条件和流程,传递科学客观的知识观点,消除不必要的忧虑和恐慌。
上图为现场拆解手机,并对带有BMS的电池进行短路实验。实验展示了电池在短路时升温加快,但是达到65摄氏度附近时回降,最终恢复到室温,且此时测试电池正负极电压为0伏,说明电池爆炸所需的条件之苛刻。
AI干掉人类,还是人类干掉AI?GEEKCON自2015年首次举办AI安全挑战赛以来,在图像、声音以及人类行为模拟等等领域开展了多种对抗式挑战。24日,在GEEKCON的现场全新的两轮AI挑战赛开启,分别是:AI for Pentest 敏感信息收集全新挑战赛,和AI for PWN 漏洞挖掘与利用全新挑战赛。
上图为来自GenZ、Ph0t1n1a和Emmmmmm2024团队的选手,利用公开和自研的算法展示了自动化漏洞检测利用和敏感信息识别技术,模拟人类黑客尝试完成挑战。未来,黑掉我们的可能是AI吗?
我是如何以不同姿势绕过 Java 限制对服务器发起攻击的
来自星云防护实验室的研究员,介绍了SpringBoot中多个漏洞,包含DOS攻击、任意文件读写、Cookie偷取,各种花式利用和bypass让观众感受到了WEB利用的魅力。
开会过程中投屏却出现奇怪的内容?在本场DAF挑战赛中,来自无踪安全实验室的选手们为我们演示利用未知缺陷近场攻击某品牌投屏设备的漏洞,实现对使用者电脑的控制。选手最终成功攻破投屏设备,将“受害人”的自拍照投到大屏中完成挑战。
GEEKCON诞生的十年里,始终坚持“为了极棒的人”的初心,我们不断努力,希望安全行业的年轻人多起来、好起来。如今,GEEKCON的现场已有超过一半的观众来自于各个高校的安全专业。传递高质量的安全对抗技术,能给年轻人带来帮助。让年轻人认识到安全行业不足的地方(真相),我们认为更是有利于他们的成长。于是,GEEKCON特设“吐槽大会——真实·黑客说”,让入行多年的前辈们来“吐槽”和讨论安全是个好行业吗?希望能够对年轻人带来一定的提醒和建议。
新买的手机可能并不像看起来那么安全。两位捍卫者向大家揭示了某手机厂商如何利用特权向正常应用中植入广告,这样的广告不仅消耗流量和电量,还会在毫无察觉的情况下窃取个人信息,最后他们还介绍了如何检测和固证,并且呼吁厂商将用户权益放在第一位。两位捍卫者也是GEEKCON特别披露专场第一组愿意摘下面具的选手。
Bucket Effect on JS Engine: Exploiting Chrome Browser through WASM Flaws
来自腾讯安全玄武实验室的研究员重点研究了Chrome的V8 JS引擎中WebAssembly模块的具体缺陷,涵盖了内存管理问题、编译错误以及绕过安全措施的攻击技巧,提供了成功攻击的示例及其利用的漏洞(例如CVE-2024-1939)。演讲者还展示了如何创建稳定的内存泄露、伪造JS对象,以及逃逸V8沙盒的技术。
对抗研判AVSS 线上预选赛吸引了来自全球的队伍参赛,最终5支队伍成功冲击线下精英挑战赛,破解未解难题。今年AVSS的主要方向为手机及车联网安全,并加入了多种目标软件及系统。
在线下决赛现场,5支顶尖战队经过激烈角逐,现场展示了对真实系统、设备的后利用技术,以及对真实设备安全研究的快速上手能力。冠军战队Polaris也为我们现场分享了APP: MTE赛题的解答。
我是如何在用户空间实现 Linux 内核漏洞自动化挖掘的
Bypass Kernel Barriers: Fuzzing Linux Kernel in Userspace with LKL
Google Android Red Team(美国)的成员使用了一种新颖的内核模糊测试方法,完全在用户空间中进行,利用开源项目LKL(Linux Kernel Library),通过将Linux内核构建为用户空间库,并与覆盖引导引擎(如libFuzzer)结合,能够创建轻量级的模块化模糊测试工具。他们还发现了包括USB HID子系统和binder等多个模块的严重漏洞。
24日晚,GEEKCON之夜在西岸·宝莱纳餐厅举行。感谢华为和蚂蚁集团的特约赞助。
在晚宴现场,GEEKCON还为卓越与优秀合作伙伴颁奖。感谢始终和GEEKCON站在一起,共同维护网络安全生态的伙伴们。
原文始发于微信公众号(GEEKCON):GEEKCON 2024 上海站闭幕|荣誉榜单·年度鲱鱼奖公布
