日前,一場(chǎng)以“破解一切”為目的國際黑客大賽在上海舉辦。在這個(gè)名為GeekPwn的會(huì )上,被破解的產(chǎn)品包括:游戲引擎Valve Source、華為P9 Lite、PS4、無(wú)人機等軟硬件產(chǎn)品。

眾多項目中技術(shù)含量最高的最受關(guān)注的,當屬華為P9 Lite手機的任意指紋解鎖。來(lái)自美國加利福尼亞大學(xué)圣塔芭芭拉分校的Shellphish團隊,突破了最新版本手機的堅實(shí)防線(xiàn)——“指紋識別搭配TrustZone”。攻擊者不僅能獲得安全區中的敏感數據,還能直接進(jìn)入支付等高權限場(chǎng)景。

黑客團隊篡改了TrustZone里的指紋驗證模塊,可以用任意指紋解鎖華為P9 Lite手機。這表明,指紋識別也并沒(méi)有公眾想象中那么安全。

簡(jiǎn)單來(lái)講,TrustZone是可保護敏感信息的一種硬件安全架構體系,用于把手機從硬件與軟件上分成安全區與普通區兩個(gè)區域。整個(gè)架構系統都是為了保護安全區中的數據,防范設備可能遭受到的多種特定威脅。

但在黑客眼中,最安全的地方也是最危險的。通過(guò)利用這些漏洞,攻擊者不僅能獲得安全區中的敏感數據,還能直接進(jìn)入支付等高權限場(chǎng)景——TrustZone的分區保護形同虛設。

在比賽現場(chǎng),Shellphish團隊找了一位女性觀(guān)眾,用鼻尖解鎖了手機。而這與之前錄入指紋信息的觀(guān)眾并不是同一人。

在隨后的采訪(fǎng)中,為了安全問(wèn)題考慮,Shellphish團隊并沒(méi)有具體解釋破解的原理。只是向界面新聞?dòng)浾邔Ρ攘艘幌虏煌镒R別系統的安全性。

團隊領(lǐng)導者Nick Stephens表示:“指紋識別技術(shù)相比較于數字識別或者虹膜識別其實(shí)沒(méi)有誰(shuí)優(yōu)誰(shuí)劣,其實(shí)安全性方面相對來(lái)講是差不多的。我剛才攻破的指紋識別是

因為這款手機的TrustZone,安全區域這一塊里面有一個(gè)漏洞,但并不是說(shuō)所有的指紋識別都有這樣的問(wèn)題。”

他同時(shí)表示,如果想破解聲音或者虹膜解鎖設備,就需要更高級別的破解工具。

這件事引起了華為官方的注意。在現場(chǎng)演示發(fā)現的漏洞被攻破之后,華為第一時(shí)間對主辦方提供的漏洞進(jìn)行了慎重仔細的分析及修復工作,以保障華為手機系統的安全性進(jìn)一步提升。

華為官方發(fā)公告表示,“安全問(wèn)題無(wú)小事,華為公司一直非常重視產(chǎn)品的系統安全問(wèn)題,華為手機在出廠(chǎng)前有著(zhù)非常嚴格的軟硬件質(zhì)量檢測,并在銷(xiāo)售后為用戶(hù)提供比較全面的安全保護應用。對于十分重視用戶(hù)安全的華為手機來(lái)說(shuō),安全極客的攻破演示無(wú)疑成為一次提高產(chǎn)品安全性的重要機會(huì )。”