日前,一场以“破解一切”为目的国际黑客大赛在上海举办。在这个名为GeekPwn的会上,被破解的产品包括:游戏引擎Valve Source、华为P9 Lite、PS4、无人机等软硬件产品。

众多项目中技术含量最高的最受关注的,当属华为P9 Lite手机的任意指纹解锁。来自美国加利福尼亚大学圣塔芭芭拉分校的Shellphish团队,突破了最新版本手机的坚实防线——“指纹识别搭配TrustZone”。攻击者不仅能获得安全区中的敏感数据,还能直接进入支付等高权限场景。

黑客团队篡改了TrustZone里的指纹验证模块,可以用任意指纹解锁华为P9 Lite手机。这表明,指纹识别也并没有公众想象中那么安全。

简单来讲,TrustZone是可保护敏感信息的一种硬件安全架构体系,用于把手机从硬件与软件上分成安全区与普通区两个区域。整个架构系统都是为了保护安全区中的数据,防范设备可能遭受到的多种特定威胁。

但在黑客眼中,最安全的地方也是最危险的。通过利用这些漏洞,攻击者不仅能获得安全区中的敏感数据,还能直接进入支付等高权限场景——TrustZone的分区保护形同虚设。

在比赛现场,Shellphish团队找了一位女性观众,用鼻尖解锁了手机。而这与之前录入指纹信息的观众并不是同一人。

在随后的采访中,为了安全问题考虑,Shellphish团队并没有具体解释破解的原理。只是向界面新闻记者对比了一下不同生物识别系统的安全性。

团队领导者Nick Stephens表示:“指纹识别技术相比较于数字识别或者虹膜识别其实没有谁优谁劣,其实安全性方面相对来讲是差不多的。我刚才攻破的指纹识别是

因为这款手机的TrustZone,安全区域这一块里面有一个漏洞,但并不是说所有的指纹识别都有这样的问题。”

他同时表示,如果想破解声音或者虹膜解锁设备,就需要更高级别的破解工具。

这件事引起了华为官方的注意。在现场演示发现的漏洞被攻破之后,华为第一时间对主办方提供的漏洞进行了慎重仔细的分析及修复工作,以保障华为手机系统的安全性进一步提升。

华为官方发公告表示,“安全问题无小事,华为公司一直非常重视产品的系统安全问题,华为手机在出厂前有着非常严格的软硬件质量检测,并在销售后为用户提供比较全面的安全保护应用。对于十分重视用户安全的华为手机来说,安全极客的攻破演示无疑成为一次提高产品安全性的重要机会。”

20160719-ESMC-1