圖說：手機屏下指紋鎖項目破解演示 采訪對象供圖

新民晚報訊（記者 楊玉紅）用一張紙可以秒破手機屏下指紋鎖。昨日和今天，2018國際安全極客大賽（GeekPwn 2018）在滬舉行，來自世界各地的安全研究員、白帽黑客、安全大牛們，組成黑客界“最強大腦”團隊，攻破重重關卡與迷陣。

随着手機的越來越智能化，手機承載了太多的功能與信息，也成了各路黑客們的兵家必攻之器。一張紙就能打開安卓手機的屏下指紋鎖，你信嗎？在比賽現場，騰訊安全玄武實驗室在現場首度演示了影響觸屏解鎖型安卓設備的“殘迹重用”漏洞：安全研究員通過一張普通的卡片，可以讓任何人對手機的屏下指紋進行解鎖。

原來，目前，主流屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像，通過反射體欺騙的方法，可以利用屏幕上殘存的指紋痕迹，讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。當我們錄入指紋或者解鎖之後，手機屏幕上會留下指紋殘迹。此時白色卡片或者白紙的作用就是成為一個能夠映襯殘迹的背景。當我們隔着白紙按壓屏幕時，手機就會收集之前殘留的痕迹，提取關鍵信息，就可以解鎖了。這個漏洞被騰訊安全專家稱作是“殘迹重用”漏洞。

據悉，該漏洞屬于屏下指紋技術設計層面的問題，會幾乎無差别地影響所有使用屏下指紋技術的設備。騰訊安全玄武實驗室負責人于旸表示，用戶無需太過擔心，實驗室早在今年初就開始和國内幾家主流手機廠商合作，不僅通過更新算法修複了已上市手機中的漏洞，還将相關解決方案提交給相關芯片廠商，推動了供應鍊層面的安全修複。

你以為加密的手機相冊，别人就看不到嗎？在比賽現場，來自AMC團隊楊志偉、胡強，在觀衆和主持人蔣昌建老師的配合下，成功完成手機私密相冊的破解挑戰。據悉，他們是利用手機操作系統的漏洞，通過在手機中安裝一個惡意APP，root權限執行任意命令，從而實現在手機中靜默安裝木馬。對此選手還解釋到，即便相冊密碼再長、再複雜，都抵不過操作系統存在的漏洞。同時，長亭科技團隊利用VMware虛拟機系統漏洞，僅用9分鐘便成功獲取ESXi宿主機系統的最高權限并進行任意控制，這無疑給私有雲的運行安全和數據安全敲響了警鐘，提醒各雲計算企業在防禦此類攻擊時能具備先機。

GeekPwn 2018以“人‘攻’智能，洞見未來”為主題，通過集結最強黑客戰隊，預演智能設備及人工智能領域潛在的安全問題，探索智能生活的安全之道，助力人們可以更安全地享受智能生活。同時，為了更加全方位洞見未來安全風險，本屆大賽分為設置不同挑戰場景的命題專項賽，不設限制的非命題開放賽和PWN4FUN趣味挑戰賽。大賽發起和創辦人王琦表示，自創辦以來，極棒帶來了許多腦洞大開的破解展示，向廠商提交了數百個，近千個嚴重安全威脅漏洞。極棒要讓更多人關注到智能生活中安全問題的重要性，為人們提供安全的智能生活。