1

“2020年9月11日，我们披露了实验室在5G安全方面最新的研究成果：通过对5G基带模块漏洞的利用，远程改变了一台5G手机的IMEI串号信息。”来自腾讯科恩实验室的研究员陈星宇和Marco Grassi在议题分享时自豪地说。

在经历2G/3G/4G之后，世界终于迎来了新一代移动通信网络5G。然而，端设备的5G基带的安全性是未知的。

腾讯科恩实验室的两位研究员购买了一些5G手机，并导出了它们的基带固件。然后，他们进行了逆向分析，发现其中一个型号的手机的基带固件缺乏基本的stack cookie保护，使得基带容易受到攻击。接着，他们研究了基带-主CPU之间的通信通道，最后通过自架的软件定义无线电设备模拟5G基站，实现了远程代码执行的攻击。这种无接触式攻击的危害是巨大的，应当引起开发者和用户的注意。

2

作为苹果Mac OS X 和 iOS操作系统的内核，XNU历来都受到开发人员和安全研究员的关注。port则是系统内部一个非常基础的组件，用于支撑操作系统各个组件之间的通信。

王铁磊博士在这次演讲中首先做了大量的背景知识铺垫，随后深入代码细节，讲解了XNU的混合式系统架构，以及port类型混淆之后能引起的种种利用方式。我们借此可以看到port类型混淆所带来的巨大危害。

3

Binder中的安全问题会将沙箱逃逸、Root、通杀这几大属性融为一体，使其拥有了与生俱来的强大威力，因此我们也将Binder漏洞称为安卓系统的阿喀琉斯之踵。

根据“每一千行代码中就有一个bug”这一规律，安卓的Binder中是否也有漏洞呢？答案是确定的。然而，为了搭建整条利用链条以实现远程root，还需要创新的漏洞利用方式。整个360团队将工作分拆成四人分别执行，想必花费了大量精力。演讲中总结了以往攻击Android实现稳定的任意地址读写的方法，并提出了两种新方法，具有一定的创新性。

4

当消费者们被手机芯片中GPU的强劲性能吸引时，黑客们的注意力也开始聚焦在GPU之上。GPU功能复杂，却在移动平台中起到了重要作用。GPU驱动能够操作物理内存，而且依然存在着常规类型的内存漏洞。

本议题分析了Adreno和Mali这两款Android主流GPU内核驱动的最近修补的关于内存管理的逻辑漏洞，并深入探讨了与之相关的一些无需适配的通用内核提权方案。

5

PAC是苹果自A12芯片之后引入iPhone的一个硬件级mitigation。它的引入大大加强了iPhone的安全性, 至少在18年iPhone XS系列机型引入PAC后, iPhone再无在公开比赛中被攻破。

本议题中，招啟汛首先简单介绍了PAC缓解机制的原理。然后详细讲解了一枚RCE漏洞，以及如何在Render进程取得任意地址读写后, 利用JIT编译器绕过PAC保护机制, 获得Render进程的任意远程代码执行。其中涉及到了许多iOS操作系统的细节，以及漏洞利用的艺术和技巧。

6

2019年9月末，苹果手机A系列芯片中被曝出存在bootrom（写死在芯片）的漏洞。与Intel CPU曝出的幽灵和熔断两个硬件漏洞不同的是，bootrom而这块区域是只读的，这也就意味着这个漏洞是不能通过软件更新手段进行修复，可以说永久存在。鉴于漏洞的影响如此之大，国外也给了它一个十分生动的名字——将军（国际象棋）。

我们都知道，苹果的安全启动机制已经相对成熟，然而还是被发现了著名的checkm8漏洞，可被用来越狱受影响的iOS设备。那么华为海思芯片手机是否也有安全启动漏洞呢？本议题给出的答案是肯定的，并讨论了华为海思bootrom的运行环境、通信协议、漏洞成因和利用。