阿里巴巴资深安全工程师
阿里巴巴移动安全部门资深安全工程师,蓝莲花战队和Insight-labs成员,香港中文大学移动安全(Android & iOS)方向博士,博士期间发表多篇移动安全方向的论文(BlackHat、AsiaCCS等),去过10多个不同的国家进行论文演讲。曾在腾讯、百度以及硅谷的FireEye实习,帮助Apple公司修复多处iOS安全问题,并且Apple在其官网对他表示感谢。业余时间,多次参加信息安全竞赛(Defcon、AliCTF、GeekPwn等),并取得优异成绩。
议题:Xcode编译器里有鬼——XcodeGhost事件全程回顾
近日,苹果XcodeGhost事件引发了全社会的广泛关注。目前已查明,由于开发人员从第三方渠道下载并使用了被植入恶意代码的iOS开发工具Xcode,使得大量iOS App被注入了“后门”,包括微信、网易云音乐、12306等在内的常用App都被感染。这次事件将导致严重的个人信息泄漏,目前估计受此影响的用户已达上亿。这个安全事件所折射出来的是当前互联网软件安全领域仍然存在着严峻挑战。针对这次XcodeGhost事件,本演讲首先复盘了整个过程,然后分享了阿里巴巴移动安全团队对这次重大事件的应急响应方案,最后讨论了可行的预防措施以及事后的思考。