日前,一場以“破解一切”為目的國際黑客大賽在上海舉辦。在這個名為GeekPwn的會上,被破解的產(chǎn)品包括:游戲引擎Valve Source、華為P9 Lite、PS4、無人機(jī)等軟硬件產(chǎn)品。

眾多項(xiàng)目中技術(shù)含量最高的最受關(guān)注的,當(dāng)屬華為P9 Lite手機(jī)的任意指紋解鎖。來自美國加利福尼亞大學(xué)圣塔芭芭拉分校的Shellphish團(tuán)隊(duì),突破了最新版本手機(jī)的堅(jiān)實(shí)防線——“指紋識別搭配TrustZone”。攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù),還能直接進(jìn)入支付等高權(quán)限場景。

黑客團(tuán)隊(duì)篡改了TrustZone里的指紋驗(yàn)證模塊,可以用任意指紋解鎖華為P9 Lite手機(jī)。這表明,指紋識別也并沒有公眾想象中那么安全。

簡單來講,TrustZone是可保護(hù)敏感信息的一種硬件安全架構(gòu)體系,用于把手機(jī)從硬件與軟件上分成安全區(qū)與普通區(qū)兩個區(qū)域。整個架構(gòu)系統(tǒng)都是為了保護(hù)安全區(qū)中的數(shù)據(jù),防范設(shè)備可能遭受到的多種特定威脅。

但在黑客眼中,最安全的地方也是最危險的。通過利用這些漏洞,攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù),還能直接進(jìn)入支付等高權(quán)限場景——TrustZone的分區(qū)保護(hù)形同虛設(shè)。

在比賽現(xiàn)場,Shellphish團(tuán)隊(duì)找了一位女性觀眾,用鼻尖解鎖了手機(jī)。而這與之前錄入指紋信息的觀眾并不是同一人。

在隨后的采訪中,為了安全問題考慮,Shellphish團(tuán)隊(duì)并沒有具體解釋破解的原理。只是向界面新聞記者對比了一下不同生物識別系統(tǒng)的安全性。

團(tuán)隊(duì)領(lǐng)導(dǎo)者Nick Stephens表示:“指紋識別技術(shù)相比較于數(shù)字識別或者虹膜識別其實(shí)沒有誰優(yōu)誰劣,其實(shí)安全性方面相對來講是差不多的。我剛才攻破的指紋識別是

因?yàn)檫@款手機(jī)的TrustZone,安全區(qū)域這一塊里面有一個漏洞,但并不是說所有的指紋識別都有這樣的問題。”

他同時表示,如果想破解聲音或者虹膜解鎖設(shè)備,就需要更高級別的破解工具。

這件事引起了華為官方的注意。在現(xiàn)場演示發(fā)現(xiàn)的漏洞被攻破之后,華為第一時間對主辦方提供的漏洞進(jìn)行了慎重仔細(xì)的分析及修復(fù)工作,以保障華為手機(jī)系統(tǒng)的安全性進(jìn)一步提升。

華為官方發(fā)公告表示,“安全問題無小事,華為公司一直非常重視產(chǎn)品的系統(tǒng)安全問題,華為手機(jī)在出廠前有著非常嚴(yán)格的軟硬件質(zhì)量檢測,并在銷售后為用戶提供比較全面的安全保護(hù)應(yīng)用。對于十分重視用戶安全的華為手機(jī)來說,安全極客的攻破演示無疑成為一次提高產(chǎn)品安全性的重要機(jī)會。”