圖說:手機屏下指紋鎖項目破解演示 采訪對象供圖
新民晚報訊(記者 楊玉紅)用一張紙可以秒破手機屏下指紋鎖。昨日和今天,2018國際安全極客大賽(GeekPwn 2018)在滬舉行,來自世界各地的安全研究員、白帽黑客、安全大牛們,組成黑客界“最強大腦”團隊,攻破重重關卡與迷陣。
随着手機的越來越智能化,手機承載了太多的功能與信息,也成了各路黑客們的兵家必攻之器。一張紙就能打開安卓手機的屏下指紋鎖,你信嗎?在比賽現場,騰訊安全玄武實驗室在現場首度演示了影響觸屏解鎖型安卓設備的“殘迹重用”漏洞:安全研究員通過一張普通的卡片,可以讓任何人對手機的屏下指紋進行解鎖。
原來,目前,主流屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像,通過反射體欺騙的方法,可以利用屏幕上殘存的指紋痕迹,讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。當我們錄入指紋或者解鎖之後,手機屏幕上會留下指紋殘迹。此時白色卡片或者白紙的作用就是成為一個能夠映襯殘迹的背景。當我們隔着白紙按壓屏幕時,手機就會收集之前殘留的痕迹,提取關鍵信息,就可以解鎖了。這個漏洞被騰訊安全專家稱作是“殘迹重用”漏洞。
據悉,該漏洞屬于屏下指紋技術設計層面的問題,會幾乎無差别地影響所有使用屏下指紋技術的設備。騰訊安全玄武實驗室負責人于旸表示,用戶無需太過擔心,實驗室早在今年初就開始和國内幾家主流手機廠商合作,不僅通過更新算法修複了已上市手機中的漏洞,還将相關解決方案提交給相關芯片廠商,推動了供應鍊層面的安全修複。
你以為加密的手機相冊,别人就看不到嗎?在比賽現場,來自AMC團隊楊志偉、胡強,在觀衆和主持人蔣昌建老師的配合下,成功完成手機私密相冊的破解挑戰。據悉,他們是利用手機操作系統的漏洞,通過在手機中安裝一個惡意APP,root權限執行任意命令,從而實現在手機中靜默安裝木馬。對此選手還解釋到,即便相冊密碼再長、再複雜,都抵不過操作系統存在的漏洞。同時,長亭科技團隊利用VMware虛拟機系統漏洞,僅用9分鐘便成功獲取ESXi宿主機系統的最高權限并進行任意控制,這無疑給私有雲的運行安全和數據安全敲響了警鐘,提醒各雲計算企業在防禦此類攻擊時能具備先機。
GeekPwn 2018以“人‘攻’智能,洞見未來”為主題,通過集結最強黑客戰隊,預演智能設備及人工智能領域潛在的安全問題,探索智能生活的安全之道,助力人們可以更安全地享受智能生活。同時,為了更加全方位洞見未來安全風險,本屆大賽分為設置不同挑戰場景的命題專項賽,不設限制的非命題開放賽和PWN4FUN趣味挑戰賽。大賽發起和創辦人王琦表示,自創辦以來,極棒帶來了許多腦洞大開的破解展示,向廠商提交了數百個,近千個嚴重安全威脅漏洞。極棒要讓更多人關注到智能生活中安全問題的重要性,為人們提供安全的智能生活。
,