由 SyScan 主办、奇虎 360 承办的 2014 SyScan360 国际前瞻信息安全会议日前完美落幕参会人员之众、演讲议题热烈,创下该会议历时之最。共有来自 9 个国家和地区的 18 名顶级国际安全讲师和数千名观众参与到了为期两天的大会当中。 今年 SyScan360 的安全方面议题覆盖包括 iOS、Android 等在内的移动操作系统安全、智能汽车安全和云服务安全等诸多领域。 本次会议最引人关注的议题——特斯拉电动汽车智能系统破解大赛最先开始。从 7 月 16 日上午 9 时起,近 20 位安全技术爱好者经历了长达 24 小时的挑战,他们围绕特斯拉智能操作系统的浏览器、手机应用和智能引擎控制系统进行了三轮模拟入侵。 会议第二天,360 网络攻防实验室的安全专家协助检查了各位参赛选手的破解成果,并且现场演示了数天前发现并已提交给特斯拉方面的程序漏洞,现场重现了漏洞安全隐患。在场观众亲眼目睹了安全专家使用电脑等设备实现远程开锁、鸣笛、控制大灯和天窗等操作。 成员来自浙江大学的 yo 团队获得了第一名。该团队通过逆向破解手机应用、无线射频破解等方式成功远程取得了测试用特斯拉电动汽车的侵入级控制(车锁车门、大灯、天窗、后备箱和机盖),并且成功启动车辆。分获二三名的团队为 wild wolf 3 队和 1 队,来自中科院软件所。
在远程破解特斯拉电动汽车比赛中获得第一名的 yo 团队 此外,全球首个完美越狱 iOS 7.1.3 操作系统版本的中国越狱团队「盘古」团队的成员 windknown 也在本次大会上透露了盘古团队实现此次完美越狱的一些技术细节,吸引了安全极客和苹果设备粉丝的关注。会上,windknown 介绍了注入代码签名绕过、内核信息泄露、内存覆盖等漏洞的细节,并且演示了如何针对漏洞编写溢出,从而使得盘古团队的越狱方案能够在 iOS 设备上存活。 Android 操作系统安全方面,在奇虎 360 任职的安全研究院申迪现场展示了如何利用 Bootkit 攻击技术攻破 Android 手机,引起了与会观众的极大兴趣。 关于日前各大媒体广泛报道的恶意程序通过 Rom(操作系统安装包)直接刷入手机的问题,申迪介绍了对抗这种恶意行为的方法,目前最简便有效的方法仍然是获取 root 权限然后删除。此外,比 Android 手机的安全软件更早启动的现实问题,也给安全软件查杀这类恶意程序带来了挑战。
SyScan 安全技术年会已经成功举办 22 次,是亚洲最为知名的网络信息安全会议之一。SyScan 于 2012 年首次登录北京,和中国领先的安全技术厂商 360 成功合办了三次会议。
|
