BlackHat & DEFCON现场秀：阿里安全专家演示“视频水印叠加”和“一分钟越狱iOS 11（BlackhatFlug）

BlackHat & DEFCON现场秀：阿里安全专家演示“视频水印叠加”和“一分钟越狱iOS 11（BlackhatFlug）

美国当地时间8月8日，两大世界顶级信息安全会议BlackHat和DEFCON将在美国拉斯×××正式揭幕。来自全球的数万名白帽×××、安全厂商、高校学者、政府机构等安全从业人员齐聚，高度关注这两场盛会将来带来怎样的前沿技术饕餮盛宴，阿里安全八大实验室多名安全专家受邀参会，带来的三大议题和两项演示备受瞩目。

据悉，BlackHat和DEFCON由传奇人物Jeff Moss分别于1997年和1993年创办，不过从2014年开始才有中国白帽受邀演讲的身影。阿里安全自2015年至今已数次参加两大顶会，曾有议题被大会主席誉为“印象最深刻的演讲”。

用技术×××呼吁版权保护

BlackHat作为全球知名顶会，议题审核严苛为业内公认，每年上报的议题最终通过率不足20%，而BlackHat USA更是顶会中的顶会，入选议题含金量最高。

阿里安全猎户座实验室安全专家五达从2015年至今已三次在BlackHat演讲，其中2017-2018年两次“中标”BlackHat USA的演讲议题。与往年专注物联网安全漏洞的方向不同，五达今年的演讲议题创新性地解决了视频水印叠加这一用户痛点。

“阿里安全猎户座及双子座实验室在版权保护方面，也有很多的技术积累与成果。这个研究的目标是希望广大视频厂商一道携起手来，早日抛弃这种粗暴的、以牺牲用户体验为代价的方式，使用现代化的版权保护手段。”五达将在北京时间10日凌晨三点的BlackHat现场，通过50分钟的演讲分享技术细节和安全解决方案。

揭秘全新漏洞：一分钟越狱iOS 11.4

作为全球参会人数最多的白帽×××顶会，DEFCON的演讲含金量也极高。已数次参加DEFCON等顶会演讲，阿里安全猎户座实验室安全专家蒸米要和搭档白虬两次登台演讲，分享他们在苹果系统研究上的突破：在iOS 11.4上展示两个全新的沙箱逃逸0day漏洞利用、一款mac OS上静态分析以及动态fuzz的工具。

近年来，苹果在macOS和iOS的防护中都引入沙盒，并采用白名单的方式，只允许苹果信任的安全接口接入，这意味着，如果能够突破沙盒，则可以打开更多×××内核的接口。蒸米表示，将在演讲中展示如何在稳定性极高的前提下，获取系统服务的控制权限，可实现一分钟越狱iOS 11.4。

在发现这些漏洞的安全风险后，如何解决？白虬的议题将明确指出，通过一款全新的静态分析工具和动态fuzz系统，可自动化处理、简化安全分析过程，迅速发现这些安全漏洞，并呈现漏洞危害，分析漏洞形成原理、利用方法、防御手段。

专注iOS和mac OS安全研究，蒸米和白虬已多次向苹果提交漏洞，获官方数次致谢，“这次中稿之后，已于6月提交漏洞报告，获得苹果致谢”。两人博士毕业，先后进入阿里安全，搭档不足一年已建树颇多。

除了议题演讲，两项演示也同样引人关注。作为阿里安全八大实验室之一，蚂蚁金服光年实验室安全工程师周宇、高级安全专家曲和将在BlackHat Arsenal“军械库”，演示针对VxWorks系统的高级模糊测试框架ChangWei，利用该框架可高效地发现系统本身和开发者代码中的潜在漏洞。

蚂蚁金服光年实验室高级安全工程师周智将在DEFCON DemoLab（演示实验室）演示一款专门为iOS 平台应用做安全测试和动态分析的工具Passionfruit，帮助开发者和安全研究人员方便快捷地对 iOS 应用暴露的×××面进行测试分析，提升iOS应用的安全性。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。