日前,一場以“破解一切”為目的國際黑客大賽在上海舉辦。在這個名為GeekPwn的會上,被破解的產(chǎn)品包括:游戲引擎Valve Source、華為P9 Lite、PS4、無人機等軟硬件產(chǎn)品。

眾多項目中技術含量最高的最受關注的,當屬華為P9 Lite手機的任意指紋解鎖。來自美國加利福尼亞大學圣塔芭芭拉分校的Shellphish團隊,突破了最新版本手機的堅實防線——“指紋識別搭配TrustZone”。攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù),還能直接進入支付等高權(quán)限場景。

黑客團隊篡改了TrustZone里的指紋驗證模塊,可以用任意指紋解鎖華為P9 Lite手機。這表明,指紋識別也并沒有公眾想象中那么安全。

簡單來講,TrustZone是可保護敏感信息的一種硬件安全架構(gòu)體系,用于把手機從硬件與軟件上分成安全區(qū)與普通區(qū)兩個區(qū)域。整個架構(gòu)系統(tǒng)都是為了保護安全區(qū)中的數(shù)據(jù),防范設備可能遭受到的多種特定威脅。

但在黑客眼中,最安全的地方也是最危險的。通過利用這些漏洞,攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù),還能直接進入支付等高權(quán)限場景——TrustZone的分區(qū)保護形同虛設。

在比賽現(xiàn)場,Shellphish團隊找了一位女性觀眾,用鼻尖解鎖了手機。而這與之前錄入指紋信息的觀眾并不是同一人。

在隨后的采訪中,為了安全問題考慮,Shellphish團隊并沒有具體解釋破解的原理。只是向界面新聞記者對比了一下不同生物識別系統(tǒng)的安全性。

團隊領導者Nick Stephens表示:“指紋識別技術相比較于數(shù)字識別或者虹膜識別其實沒有誰優(yōu)誰劣,其實安全性方面相對來講是差不多的。我剛才攻破的指紋識別是

因為這款手機的TrustZone,安全區(qū)域這一塊里面有一個漏洞,但并不是說所有的指紋識別都有這樣的問題。”

他同時表示,如果想破解聲音或者虹膜解鎖設備,就需要更高級別的破解工具。

這件事引起了華為官方的注意。在現(xiàn)場演示發(fā)現(xiàn)的漏洞被攻破之后,華為第一時間對主辦方提供的漏洞進行了慎重仔細的分析及修復工作,以保障華為手機系統(tǒng)的安全性進一步提升。

華為官方發(fā)公告表示,“安全問題無小事,華為公司一直非常重視產(chǎn)品的系統(tǒng)安全問題,華為手機在出廠前有著非常嚴格的軟硬件質(zhì)量檢測,并在銷售后為用戶提供比較全面的安全保護應用。對于十分重視用戶安全的華為手機來說,安全極客的攻破演示無疑成為一次提高產(chǎn)品安全性的重要機會。”