支付寶安全實(shí)驗(yàn)室受邀亮相多個(gè)世界頂級(jí)峰會(huì)，安全技術(shù)獲好評(píng)

8月13日，在美國剛剛結(jié)束的安全頂級(jí)峰會(huì)BlackHat USA(黑帽大會(huì))和DefCon上，螞蟻金服光年安全實(shí)驗(yàn)室(簡稱AFLSLab)研發(fā)的漏洞檢測工具等重要研究成果再次成功入選。自2018年以來，螞蟻金服光年安全實(shí)驗(yàn)室還先后中稿BlackHat Asia 2018黑帽大會(huì)以及武器庫，同時(shí)在北美的CanSecWest安全攻防峰會(huì)上也首次中稿Android安全領(lǐng)域的漏洞挖掘文章，連創(chuàng)多次第一。

據(jù)了解，黑帽安全技術(shù)大會(huì)創(chuàng)辦于1997年，被公認(rèn)為世界信息安全行業(yè)的最高盛會(huì)，也是最具技術(shù)性的信息安全會(huì)議。大會(huì)每年會(huì)評(píng)選有實(shí)戰(zhàn)能力的安全工具進(jìn)入"軍械庫"(BlackHat Arsenal)，供全球安全行業(yè)學(xué)習(xí)。而DefCon黑客大會(huì)誕生于1992年，又稱電腦黑客秘密大派對(duì)，參會(huì)者除來自世界各地黑客。這兩個(gè)大會(huì)是網(wǎng)絡(luò)安全行業(yè)的盛會(huì)，是安全從業(yè)者的世界舞臺(tái)。

首次受邀，入選美國BlackHat &DefCon黑帽大會(huì)

在剛剛結(jié)束的BlackHat USA 2018軍械庫上，螞蟻金服光年安全實(shí)驗(yàn)室的安全工程師周宇、高級(jí)安全專家曲和及來自默安的王偉，針對(duì)于VxWorks系統(tǒng)的高級(jí)模糊測試框架ChangWei成功入選，工具篇《ChangWei:A Modern Fuzzing Framework for VxWorks System》。

VxWorks系統(tǒng)具有良好的可靠性和卓越的實(shí)時(shí)性，被廣泛應(yīng)用在工控物聯(lián)網(wǎng)領(lǐng)域，如衛(wèi)星通訊、軍事演習(xí)、彈道制導(dǎo)、飛機(jī)導(dǎo)航等，安全的重要性不言而喻。目前，針對(duì)其的測試方法還停留在傳統(tǒng)的黑盒階段，而光年安全實(shí)驗(yàn)室創(chuàng)新性地更新了檢測方法，可以高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。

在隨后舉行的DEFCON USA DemoLab中，螞蟻金服光年安全實(shí)驗(yàn)室的高級(jí)安全工程師周智和來自長亭的安全工程師張一峰受邀展示了開源工具議題《Passionfruit: an iOS app blackbox assessment tool》。iOS 和 Android 是目前最流行的兩大移動(dòng)智能操作系統(tǒng)。相比后者，iOS 的應(yīng)用安全問題較少受到關(guān)注，工具也相對(duì)匱乏。

Passionfruit 是一款專門為 iOS 平臺(tái)應(yīng)用做安全測試和動(dòng)態(tài)分析的工具，提供了跨平臺(tái)的圖形界面，快速完成 iOS 應(yīng)用安全測試中常見的需求，包括信息收集、URL 測試、存儲(chǔ)信息分析、截圖、動(dòng)態(tài)插樁等任務(wù)。利用此工具可以幫助開發(fā)者和安全研究人員方便快捷地對(duì) iOS 應(yīng)用暴露的攻擊面進(jìn)行測試分析，更快速定位隱患，提升 iOS 應(yīng)用的安全性。

亞洲黑帽大會(huì)：唯一入選由中國人開發(fā)的漏洞檢測工具

今年3月，在BlackHat ASIA 2018(亞洲黑帽大會(huì))的軍械庫上，螞蟻金服光年安全實(shí)驗(yàn)室的高級(jí)安全專家曲和、高級(jí)安全工程師河廣研發(fā)的二進(jìn)制漏洞檢測工具HORUS成功入選，也是本屆唯一入選的由中國人開發(fā)的工具，工具篇《HORUS - BINARY LIBRARY SECURITY SCANNING ENGINE》分享了工具HORUS。這是一套易用的跨平臺(tái)二進(jìn)制程序漏洞檢測工具，可以有效預(yù)判程序漏洞，提前消除系統(tǒng)性風(fēng)險(xiǎn)。

當(dāng)下越來越多的應(yīng)用使用三方庫，例如libopenssl、libffmpeg等，HORUS構(gòu)建和提供了一套跨平臺(tái)規(guī)則匹配系統(tǒng)，可以方便的對(duì)二進(jìn)制庫進(jìn)行的特征分析和漏洞檢測。譬如通過HORUS可預(yù)判到二進(jìn)制庫中可能存在類似“HeartBleed”這樣的漏洞。當(dāng)新的移動(dòng)操作系統(tǒng)漏洞或缺陷出現(xiàn)時(shí)，可以通過自定義的檢測規(guī)則，快速匹配，提前預(yù)判并消除風(fēng)險(xiǎn)。

同時(shí)，在BlackHat ASIA 2018的議題《International Problems: Serialized Fuzzing for ICU Vulnerabilities》中，來自螞蟻金服光年安全實(shí)驗(yàn)室的安全專家墨蹊，分享了如何高效率地挖掘ICU組件漏洞的關(guān)鍵技術(shù)，以及團(tuán)隊(duì)最新研究發(fā)現(xiàn)的ICU中的幾個(gè)漏洞的相關(guān)細(xì)節(jié)。

ICU是Unicode的國際化組件，應(yīng)用非常廣泛，很多非常流行的軟件和系統(tǒng)比如Chrome, Edge, Firefox, Android, macOS, iOS, Windows 10中都用到了ICU，甚至一些汽車比如奔馳、寶馬、奧迪、大眾、豐田等的系統(tǒng)中也用到了ICU。ICU中的漏洞都可能對(duì)這些系統(tǒng)造成一定的危害，造成非常廣泛的影響。光年實(shí)驗(yàn)室安全專家表示，通過這次分享，我們希望喚起各個(gè)開發(fā)者和廠商對(duì)ICU組件的漏洞引起重視，攜手共同提高ICU公共組件的安全性。

首次亮相北美的CanSecWest 安全攻防峰會(huì)

在征戰(zhàn)BlackHat的同時(shí)， 光年安全實(shí)驗(yàn)室的議題也入選過CanSecWest 2018。螞蟻金服光年安全實(shí)驗(yàn)室的高級(jí)安全工程師仲花、高級(jí)安全專家曲和進(jìn)行《Tunnel War: Attack Android Through Multiple Hidden Interface》的漏洞挖掘技術(shù)分享。這次分享揭秘了一系列潛藏在的Android系統(tǒng)中的邏輯漏洞，以及總結(jié)了發(fā)現(xiàn)的方法。在應(yīng)用層，通過對(duì)手機(jī)固件廠商的預(yù)制更新機(jī)制FOTA以及Localsocket進(jìn)行分析，揭秘了固件廠商軟件包中的隱患;在系統(tǒng)層，通過隱藏在Android圖形圖像子系統(tǒng)中的一些列邏輯問題，從系統(tǒng)服務(wù)層層深入，揭露了新的邏輯漏洞挖掘方法與思路，同時(shí)深入攻擊到芯片廠商的硬件抽象實(shí)現(xiàn)，揭露了硬件廠商在手機(jī)上實(shí)現(xiàn)存在的一些安全隱患與漏洞。這次分享揭露了多個(gè)沒有被大家重視的Android系統(tǒng)中的隱藏攻擊面，為進(jìn)一步鞏固Android系統(tǒng)安全，增強(qiáng)金融級(jí)安全能力提供了強(qiáng)有力的技術(shù)支持。

螞蟻金服光年安全實(shí)驗(yàn)室有著豐富的黑灰產(chǎn)抗擊經(jīng)驗(yàn)和行業(yè)內(nèi)頂尖的攻防技術(shù)能力，除致力于護(hù)航支付寶及螞蟻金服的相關(guān)產(chǎn)品安全，同時(shí)也通過前沿的安全技術(shù)的密集分享來賦能外部合作商戶、廠商以及生態(tài)伙伴的安全。2018年以來，光年實(shí)驗(yàn)室已報(bào)告多個(gè)操作系統(tǒng)漏洞以及瀏覽器漏洞，其中在瀏覽器方面報(bào)告的Chrome、Safari漏洞，均位居國內(nèi)前列。也屢屢獲得包括蘋果、谷歌、微軟在內(nèi)的多家科技巨頭的致謝。光年實(shí)驗(yàn)室正在成為安全領(lǐng)域的一顆新星。