11月17日,由阿里云主辦的首屆先知創新大會在京舉行。來自量子技術、信息安全和人工智能等領域的技術專家齊聚一堂共同探討中國原創安全技術,大會的初衷是希望成為中國原創安全技術的舞臺,讓安全研究者看到未來,讓他們在安全技術上獲得更多的創新和突破。更重要的是,為產業帶來貢獻助力解決社會問題是阿里一直以來對技術研究的堅持。
當前,最熱門的技術非AI莫屬,事實上,AI已經在一些領域上展示了自身的應用潛力,在美國國防部高級研究計劃局舉辦的“網絡安全挑戰賽”上,我們已經看到AI在網絡安全上的應用,那么在移動端的安全方面,AI可以發揮怎樣的效力呢?螞蟻金服巴斯光年安全實驗室技術專家仲花和此彼就在本次先知創新大會上發表了《漏洞挖掘的工業時代尾聲,Android系統代碼審計新思路與AI漏洞挖掘的結合》的主題演講,介紹了一種批量挖掘Android系統漏洞的全新角度,關注被忽視的底層數據結構,以及通過代碼審計發現Android系統中攻擊面的方法,并展示相關實例。本文是對兩位老師演講后的專訪整理。
受訪嘉賓簡介:
仲花(溫瀚翔),專注于AOSP漏洞挖掘與制作提權漏洞利用。發現并報告CVE-2017-0418,CVE-2017-0665, CVE-2017-0681,CVE-2017-0737等多個Android系統漏洞并獲得Google致謝。現于螞蟻金服巴斯光年安全實驗室從事Android漏洞挖掘及利用相關研究。
此彼(吳濰浠) ,專注于研究Android安全。第一位Google Android安全獎金獲得者。2016年用自己發現的Android漏洞成功root當時Google官方搭載最新的Android系統的手機Nexus 6 。曾從事Android惡意軟件分析、反混淆、加密和漏洞挖掘利用等,現于螞蟻金服巴斯光年安全實驗室從事Android漏洞挖掘及利用相關研究。
Android的漏洞有哪些?
仲花和此彼兩位老師主要從Android漏洞的類型、高發點和觸發途徑為我們介紹了當前Android系統中的安全問題。
漏洞類型
Android系統常規漏洞類型有內存拷貝不當導致的堆棧溢出、計數器溢出導致的整形溢出、越界的讀和寫、UAF、類型混淆、TOCTOU等,還有一種是缺少權限檢查,不過這種漏洞一般出現在framworks層的代碼中,讓我們比較容易地以高權限執行代碼。
漏洞高發點
Android系統漏洞的高發點一般在系統服務進程如system_server或mediaserver中;應用所依賴的一些framework層調用比如WiFi的API調用,跨平臺的第三方庫如Skia,以及各種多媒體解碼庫,還有廠商的一些硬件相關的音視頻編解碼以及圖形圖像加速解決方案的支持庫。
漏洞觸發路徑
觸發路徑主要有以下三種:
瀏覽器中的漏洞。這是最具有攻擊性的,可以遠程觸發還可以造成代碼執行;文件解析漏洞。這種漏洞在stagefright后已經被Android系統的安全策略不斷削弱,會造成影響但卻不容易進行遠程代碼執行。在手機本地的提權。應用程序通過與高權限的進行進行Binder通信,從而嘗試以高權限進程的上下文執行代碼。AI怎么進行漏洞挖掘?
AI用于漏洞挖掘是基于遺傳算法,遺傳算法需要找到一個用例,能觸發漏洞。首先,有一個用例的集合,變異函數就是先把一個或一個以上用例拿出來變異,放到適應函數里面進行運算,看這個新變異出來的用例是否是有價值的,如果有價值,就放到用例集合里面去,這是模擬生物進化的原理,通過變異和適應函數來篩選用例,即生物繁殖和適應環境。變異篩選逐漸把用例演化成能走入未走過的代碼的用例,我們直接就相當于攻擊者,就像軍事演習一樣,自己攻擊自己的代碼,模擬攻擊者,攻擊自己的軟件,找出薄弱點即安全漏洞。
人工漏洞挖掘 vs AI漏洞挖掘
傳統的漏洞挖掘其實就是人盯著源代碼看,通過反匯編別人編譯已經完成的產品,分析運行原理,推算在哪種情況下可能會出現問題,然后試著去實踐一下看看是否會真的產生問題,如果會,說明這有安全問題,從而達到發現漏洞的目的。
而AI是基于遺傳算法、進化算法,它是根據程序內部的反饋運行的。如果發現當前用例促使程序內部在工作流程上有新的動作,從而推測新的動作可能會發生一些問題,那么我就重復進行這樣的動作,并在這種動作的基礎上稍加修改,其實就是自我嘗試改進的過程。
由于AI在每秒中都會嘗試成百上千次,并且可以快速地進行迭代,而人在跟蹤代碼執行的過程是很緩慢的,人為了彌補這樣的不足,一般會通過類似符號類符號執行來猜測,必須進行高度抽象地猜測,就像下圍棋一樣,要在很高的層次上進行判斷,是自我感覺的過程。而AI不一樣,它可以把全部可能走入分支都嘗試去走。再者,AI可以全天候地工作,這是人無法做到的。
為何選Android而不是iOS
雖然在蘋果系統和Android系統上的漏洞挖掘大體上沒有什么區別,但目前來看,在實踐和適配的過程中,由于蘋果有一些黑盒的程序,還是需要大量的人工參與的,而因為Android是開放的,而且文檔很豐富,操作起來更方便。而且由于Android一直開源,文檔也多,所以攻擊Android的成本要比iOS低,所以大家都比較熱衷于攻擊Android,Android上的安全問題也就更加險峻,所以目前暫時選擇在Android上用AI進行漏洞挖掘。
AI漏洞挖掘與逃逸攻擊
所有的攻擊都是有場景的,逃逸攻擊也不例外,逃逸攻擊的場景一般指存在一個判別網絡,逃逸攻擊就是欺騙這個判別網絡,讓他識別成另一個東西。而漏洞挖掘是挖掘自己產品的漏洞,在這個場景中攻擊者并沒有參與來進來,也沒有使用神經網絡的判別,所以就沒有逃逸攻擊的問題。
AI未來還能在安全領域做些什么?
機器漏洞挖掘還將在PC端和服務器上進行大規模訓練。還有就是Google在手機上引入的TensorFlow——手機上用的訓練網絡, 可能會產生新的安全問題,因為AI本身也是一個系統,它本身也會產生安全問題,就像上文提到的逃逸攻擊那樣。AI經過大量訓練之后,它內部會有訓練出來的類似于算法的一個東西,然后可以通過生成對抗網絡,訓練出這個算法的逆算法去跟它進行對抗。
AI為何受熱捧?
目前的算力已經達到了一個瓶頸,摩爾定律已經可能不起作用了,過去,算力在瘋狂地膨脹,代碼可以隨便寫寫,可以不注重效率的方式,但是現在很多問題已經無法用算力解決,只能通過人工智能的方式,像經驗主義,向實際的解決方法逼近,在這種情況下去近似地解決一個問題,不可能是完美解決。
從國家的層面上來講,現在人工智能已經成為了國家的戰略,這是一個新的時代方向,是一個大趨勢,大家都在投入。一個新的技術的投入會導致什么呢?這個技術的門檻會大大降低,為什么這么說呢?眾所周知,現在很多框架都有了,直接調算法就行了,你只需要判斷這個環境是否適用于這個算法,然后再調參數就OK了,所以說它的門檻已經被大大降低了。
從行業的角度來看,谷歌、微軟和國內互聯網巨頭BAT起到了很好的帶頭作用,他們搭建了一些好的平臺給一些創業型企業使用,不僅打開自己的知名度,也培養了大量的AI人才,在這一點上,我們國家的人才實力是有機會超越美國的。
傳統開發人員應何去何從?
未來既懂傳統技術又懂人工智能技術的開發人員將會很受市場歡迎,在現實中,我們需要專精于一個技術,但同時是我們還需要了解人工智能技術,因為了解人工智能的某些算法在將來可能會在你這個領域派上用場。
雖然很多人工智能技術會取代人類之前低效的工作,但是它畢竟還沒有發展到超過人類智慧的程度,人類看事情的緯度會比機器多,我們知道這個東西什么時候該適用于什么經驗,然后調到一個合適的點讓機器去學習經驗而不是完全地委派出去。所以機器還不能完全取代人,開發人員能做的就是保持一顆積極向上的心態,繼續學習,跟緊時代的步伐,而不是過多地憂慮。
京公網安備 11010502049343號