日前，一場(chǎng)以“破解一切”為目的國(guó)際黑客大賽在上海舉辦。在這個(gè)名為GeekPwn的會(huì)上，被破解的產(chǎn)品包括：游戲引擎Valve Source、華為P9 Lite、PS4、無(wú)人機(jī)等軟硬件產(chǎn)品。

眾多項(xiàng)目中技術(shù)含量最高的最受關(guān)注的，當(dāng)屬華為P9 Lite手機(jī)的任意指紋解鎖。來(lái)自美國(guó)加利福尼亞大學(xué)圣塔芭芭拉分校的Shellphish團(tuán)隊(duì)，突破了最新版本手機(jī)的堅(jiān)實(shí)防線——“指紋識(shí)別搭配TrustZone”。攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù)，還能直接進(jìn)入支付等高權(quán)限場(chǎng)景。

黑客團(tuán)隊(duì)篡改了TrustZone里的指紋驗(yàn)證模塊，可以用任意指紋解鎖華為P9 Lite手機(jī)。這表明，指紋識(shí)別也并沒(méi)有公眾想象中那么安全。

簡(jiǎn)單來(lái)講，TrustZone是可保護(hù)敏感信息的一種硬件安全架構(gòu)體系，用于把手機(jī)從硬件與軟件上分成安全區(qū)與普通區(qū)兩個(gè)區(qū)域。整個(gè)架構(gòu)系統(tǒng)都是為了保護(hù)安全區(qū)中的數(shù)據(jù)，防范設(shè)備可能遭受到的多種特定威脅。

但在黑客眼中，最安全的地方也是最危險(xiǎn)的。通過(guò)利用這些漏洞，攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù)，還能直接進(jìn)入支付等高權(quán)限場(chǎng)景——TrustZone的分區(qū)保護(hù)形同虛設(shè)。

在比賽現(xiàn)場(chǎng)，Shellphish團(tuán)隊(duì)找了一位女性觀眾，用鼻尖解鎖了手機(jī)。而這與之前錄入指紋信息的觀眾并不是同一人。

在隨后的采訪中，為了安全問(wèn)題考慮，Shellphish團(tuán)隊(duì)并沒(méi)有具體解釋破解的原理。只是向界面新聞?dòng)浾邔?duì)比了一下不同生物識(shí)別系統(tǒng)的安全性。

團(tuán)隊(duì)領(lǐng)導(dǎo)者Nick Stephens表示：“指紋識(shí)別技術(shù)相比較于數(shù)字識(shí)別或者虹膜識(shí)別其實(shí)沒(méi)有誰(shuí)優(yōu)誰(shuí)劣，其實(shí)安全性方面相對(duì)來(lái)講是差不多的。我剛才攻破的指紋識(shí)別是

因?yàn)檫@款手機(jī)的TrustZone，安全區(qū)域這一塊里面有一個(gè)漏洞，但并不是說(shuō)所有的指紋識(shí)別都有這樣的問(wèn)題。”

他同時(shí)表示，如果想破解聲音或者虹膜解鎖設(shè)備，就需要更高級(jí)別的破解工具。

這件事引起了華為官方的注意。在現(xiàn)場(chǎng)演示發(fā)現(xiàn)的漏洞被攻破之后，華為第一時(shí)間對(duì)主辦方提供的漏洞進(jìn)行了慎重仔細(xì)的分析及修復(fù)工作，以保障華為手機(jī)系統(tǒng)的安全性進(jìn)一步提升。

華為官方發(fā)公告表示，“安全問(wèn)題無(wú)小事，華為公司一直非常重視產(chǎn)品的系統(tǒng)安全問(wèn)題，華為手機(jī)在出廠前有著非常嚴(yán)格的軟硬件質(zhì)量檢測(cè)，并在銷(xiāo)售后為用戶提供比較全面的安全保護(hù)應(yīng)用。對(duì)于十分重視用戶安全的華為手機(jī)來(lái)說(shuō)，安全極客的攻破演示無(wú)疑成為一次提高產(chǎn)品安全性的重要機(jī)會(huì)。”