Fuzzing AOSP for Non-crash bugs / Elphet

Fuzzing AOSP for Non-crash bugs / Elphet === Speaker: Elphet、Guang Gong - 360 team ### intro. 常見 fuzzing 利用應用是否 crash 判斷為漏洞有時候未必會 crash ，但仍是發生漏洞 fuzzers tool都是倚賴Crash Crash Handler in AFL honggFuzz libFuzzer 使用自定義函式，看程式是否行為符合預期 Fuzzing and Sanitizers 找到(Proved)memory corruption bugs非常有效的方法(Fuzzing) 用 Seed selector 做變異參數(?) crash>程式是否正常運行的判別標準吃 signal 知道問題種類 ### ASAN red zone 與 malloc() 的空間相間 ### Intra Object Overflow Detector 使用 LLVM Passes、Data Flow Analysis Libxaac - confinguration and decoding Two attack surfaces Two fuzzers for libxaac 發現AOSP漏洞 Configfuzzer decodefuzzer Vulnerability case: * cve-2019-2065 * 無法被redzone發覺，容易忽略 * cve-2018-9575 * 可控index，可檢測出來但測出來的位置錯誤 * 偏誤報方面 * cve-2019-2064 * pointer遞增超過Arr範圍 ## 14:00 [R2]Cheaper by the dozen: simultaneous attacks on SS7 and Diameter Speaker:Sergey Puzankov (๑•́ ₃ •̀๑) ### About the team - Sergey Mashukov - Alexandr Onegov - Sergey Puzankov ### Sighaling basics SS7 is a set of telephony protocols used to set up and tear down teltphone calls, send and receive SMS ........ (´-ι_-｀) ### Now what can a hacker do ? ### History of signaling security - SS7 development - Scope grows - Not trusted anymore 需要支援... #### Mobile operators and signaling security #### Nodes and identifiers in GSM/UMTS - MSISDN - GT - IMSI - STP - HLR - MSC/VLR - SGSN - SMS-C #### Nodes and identifiers in LTE - EPC[](https://)[](https://)[](https://)[](https://)[](https://)[](https://) - Realm - epc.mnc072.mcc466.3gppnetwork.org - HostID - nme01.epc.mnc070.mcc466.3gppnetwork.org - DEA - HSS - MME - SGW - IMS(IP Multimedia System) ### Mobile networks evolution - 2G + 3G + 4G #### SS7 protocol stack -MAP -TCAP -SCCP #### Dimeter protocol stack -Diameter -SCTP -IP #### STP and DEA #### SMS Home Routing SRISM #### SS7 firewall: typical deployment scheme ### Signaling firewall: blocking rules 第零類: 第一類: 第二類:對內第三類:往外傳遞的訊息 #### SS7 and Diameter firewall penetration 從2015年開始SS7防火牆逐年成長但Dimater零成長 ### Eeample 分享一些攻擊實例我會使用不同Portocol攻擊做例子 TCAP protocal可以看到不同訊息和傳遞的ID 這些區塊都是選擇性的可以看到application層的動作 Cnanging ACN IMSI disclosure via malformed ACN 所以在Step1可以看到Mail bla bla bla #### Call Global Identity GPS定位攻擊如果入侵者看到使用者的位置可以拉近100公尺可以看到電信業者ID 入侵者看這個訊息來自DEA 這個訊息本身應該要進行一些動作 ID MME GPS 入侵者可以用它來攻擊SSL #### Voice call interception(MITM) 1. 入侵者傳送訊息 2. STP 3. 傳送正面回應 4. 入侵者應該要等待 5. 等待使用者傳送訊息 6. 入侵者可以直接看到並啟動 7. 撥號給被使用者中間人攻擊 IMSI ### Blocking rule:Category 如何去阻止線上攻擊添加防火牆這是一個最常見的結構可以觀嘗是否是有一個 #### Protect mesdures End (ﾟд⊙) ###### tags: `HITCONCMT2019`,`HITCONCMT`,`HITCON`