⌈京麒沙龙第16期⌋移动安全技术专场，线下约起~

APP签名作为应用安全的核心，对应用防盗版和风控具有重要意义，那么在Android系统问世已有15年，APP签名安全是否得到了厂商的重视，是否还存在明显的短板呢？除了Android之外，iOS和新兴的原生鸿蒙平台又有哪些APP签名的安全风险？本演讲主要讨论移动平台APP签名安全风险挖掘的过程与心得，以及部分安全治理的建议。

Android系统安全专家

ID：wrlu，具有丰富的手机厂商和互联网APP厂商工作经验，专注于Android系统框架及应用层的漏洞挖掘和逆向分析，个人博客（wrlus.com）在Android系统安全圈具有一定影响力；曾获得Google多枚高危安全漏洞CVE和致谢，以及Samsung/华为/荣耀等厂商安全漏洞和致谢；曾在BlackHat Asia 2022发表演讲。

本议题围绕近几年Android设备所遭遇的URI组合漏洞攻击，讨论Android和OEM厂商针对提权和代码执行等风险所作出的努力。解析现有措施面对组合漏洞的遗漏和缺口，以及后续加固和防护的方向。

vivo千镜安全实验室 高级攻防研究员

在移动安全领域，代码混淆技术广泛用于提升应用安全性，防止逆向分析和恶意篡改。其中，控制流平坦化、虚拟机保护等手段被大量应用于 Android/iOS 保护机制及恶意软件防护中，以增加逆向工程的难度。然而，随着反混淆技术的不断发展，符号执行、动态追踪、模式匹配、微码分析、二进制分析等方法逐步提升了对抗能力，使得攻击者能够绕过复杂的防护措施。本议题将围绕移动安全场景中的高级代码混淆与反混淆技术展开讨论，剖析最新的攻防策略，并探讨未来可能的发展趋势。

四川大学网络空间安全硕士

目前就读于四川大学网络空间安全学院，主要技术研究方向是移动安全、逆向工程、混淆与反混淆技术以及大语言模型安全交叉应用等。研究逆向工程十余年，拥有各种场景逆向工程经验。擅长技术分享，能把复杂的技术用简单的语言、演示以及 demo 代码向大家呈现。曾在 KCon、看雪峰会等安全会议发表演讲，参与《加密与解密》的编写，在看雪论坛发表精华技术文章十余篇。

伴随着HarmonyOS NEXT的发布，华为实现了计算机领域三座大山的跨越：操作系统、处理器、编译器。其中HarmonyOS NEXT的编译器名叫ArkCompiler，它的发布引起了编译、程序分析、安全等领域人员的广泛关注，但是关于ArkCompiler的公开资料很少，我阅读了ArkCompiler的源码，进行了关键步骤的梳理，本次分享主要介绍ArkCompiler的演进历史，整体的架构，文件格式，汇编、IR、Pass机制等。

京东安全獬豸实验室安全研究员

专注于研究程序分析及其应用，包括漏洞自动化挖掘、代码保护等。