2022年11月19日，由武汉大学空天实验室、OPPO联合主办，OPPO安珀实验室、OPPO产学研事务部联合承办的2022 XDef-OPPO安全技术沙龙（成都站）成功举办。此次会议，以 “攻防相长，利剑出鞘”为主题，汇聚技术行业精英、技术专家共同回顾历史，探讨未来，共享技术盛宴。

 

 

会议主题

       本次会议围绕着系统立体防御、数据存储中的DOS攻击、蓝牙协议中的内存漏洞挖掘、跨设备信息流构建和污点分析、Android混合开发模式下攻防等问题和前沿进展开展集中研讨；并邀请业内多位知名学者一起共同探讨面向未来终端安全环境中，OPPO的产品和服务应具备和储备哪些相关技术能力来应对无限的技术挑战与机遇，持续为用户提供安全可信赖的产品。

 

会议进程

       会议开场，由武汉大学国家网络安全学院教授，副院长，全国网络与信息安全防护峰会（XDef）联合发起人、执行主席彭国军教授和OPPO终端安全领域总经理王安宇致辞。

 

彭国军致辞

王安宇致辞

 

       在“攻防相长，利剑出鞘”的会议大主题引领之下，来自武汉大学国家网络安全学院教授傅建明，为各位参会者带来了以“漏洞攻击的立体防御”为主题，从资源完整性、资源多样性、资源诱捕性三个维度研究漏洞攻击的立体防御思路。

 

 

       复旦大学计算机科学技术学院副教授、博导，白泽战队指导教师张源，以“Straw Attack: 压垮安卓系统的最后一根稻草”为主题，通过对安卓系统服务中数据存储机制系统梳理了Straw Attack这种DOS攻击，并设计了基于定向模糊测试技术的漏洞检测工具StrawFuzzer来实现大规模发现和触发这种漏洞。

 

 

       OPPO安珀实验室高级终端安全工程师艾磊，为各位参会者系统的介绍了本地和远程攻击面，从蓝牙通信流程具体分析了蓝牙标准5.2带来的流控模式下的新漏洞，最后从代码审计层面讲述了挖掘蓝牙L2CAP中内存越界漏洞的工作方法细节，具有很强的实践性。相关工作获得了2项谷歌（高危）CVE，1项高通（严重级）CVE。

 

 

       电子科技大学副研究员，工学博士，硕士导师陈瑞东，对移动智能终端(手机、智能家居等)中全场景分布式操作系统在跨设备交互部件的安全设计、安全框架进行分析，验证了目前很多产品和研究无法对跨设备复杂场景进行检测的难题， 展示了团队自主开发的面向Android系统的静态污点分析框架，可以实现跨层、跨组件和跨设备全流程的信息流构建和污点分析框架，发现了十余种新型攻击和隐私安全问题，为下一代移动OS安全提供建设性思路。

 

 

       OPPO安珀实验室高级安全研究员孔潇，细致地介绍了Android混合开发模式下的安全风险和防御策略，重点介绍Android原生模式和新兴模式的框架原理、交互流程、攻击模型，以及在两种模式下的漏洞挖掘，最后通过案例解析一步步重现了攻击过程。

 

 

       各位演讲嘉宾的技术干货满满，给予大家很多启发，到提问互动环节时，线上线下伙伴抓住时机积极踊跃提问，主持人的妙语连珠，与会专家们细致讲解，让本次技术交流有深度有广度，更加意犹未尽，参会者获益匪浅。

 

 

圆桌会议

       在圆桌会议环节，安珀实验室负责人陈勇再次邀请了各位主讲人及OPPO安全领域总经理王安宇上台共同探讨当前国内国际形势下终端厂商安全攻防技术新态势，面临的威胁与挑战以及积极的应对措施。

 

 

       本次“XDef-OPPO安全技术沙龙（成都站）”为各位安全攻防技术人构建了技术交流与深入了解行业前沿动态的平台，让与会者聆听了多位行业大咖及精英关于终端安全攻防技术领域的深度探讨，感受了科技所带来的非凡魅力。