華為P9指紋識(shí)別被破解 ARM也會(huì)驚心?
你的手機(jī)具備指紋識(shí)別功能嗎?如果你的答案為“是”,那么針對(duì)以下這一條新聞,你應(yīng)該要提高警覺(jué),甚至要銘記在心。因?yàn)樵诮袢沼谏虾Ee辦的GeekPwn駭客大賽中,來(lái)自美國(guó)的團(tuán)隊(duì)在瞬間就突破了華為P9 Lite的防線(xiàn),讓他們不需透過(guò)使用者輸入指紋,就能成功解鎖手機(jī),如入無(wú)人之境。
我們一起回顧一下華為P9被破解的過(guò)程:
還記得電影里的場(chǎng)景嗎?妹子為了檢閱男友的手機(jī),偷偷在他睡著時(shí)用在某寶上買(mǎi)的男友無(wú)隱私神器,偷偷印下了他的指紋膜,方便多次“檢閱”,然后成功解鎖了手機(jī)。
讓女友放心,男友恐懼,可能會(huì)引發(fā)一場(chǎng)情侶間撕x大戰(zhàn)的技術(shù)來(lái)了。
組委會(huì)給黑客Nick Stephens現(xiàn)場(chǎng)發(fā)放一臺(tái)全新華為p9 lite手機(jī),這臺(tái)手機(jī)已經(jīng)升級(jí)到最新版本。匪夷所思的是,黑客不需要任何設(shè)備,只需下載一個(gè)App即可。
規(guī)則如下:
禁止選手接觸手機(jī);
禁止開(kāi)啟調(diào)試、連接調(diào)試線(xiàn);
利用未公開(kāi)漏洞;
可以獲得root權(quán)限;
可以在trustzone信任的app中運(yùn)行任意代碼;
可以在trustzone內(nèi)核中運(yùn)行任意代碼;
可以修改指紋驗(yàn)證模塊,讓任何人的指紋都能通過(guò)驗(yàn)證;
兩個(gè)妹子踴躍上臺(tái),作為錄入指紋者和攻擊者。在妹子的幫助下,這場(chǎng)攻堅(jiān)戰(zhàn)開(kāi)始了,雖然現(xiàn)場(chǎng)觀眾覺(jué)得,可能一對(duì)情侶上臺(tái)示范更有教育意義。
在“受害者”錄入指紋后,評(píng)委試了一下用自己的指紋能否開(kāi)機(jī),并不能。“攻擊者”輸入了攻擊地址,打開(kāi)了App。
運(yùn)行后,攻擊者甚至可以用鼻子解鎖這臺(tái)手機(jī)。
采訪(fǎng)中,黑客揭示:因?yàn)檫@款手機(jī)有TrustZone,而這其中有漏洞,并非所有手機(jī)的指紋識(shí)別都能被攻破。而且,此次攻擊只能近距離展開(kāi),無(wú)法遠(yuǎn)程操作。有趣的是,現(xiàn)場(chǎng)充當(dāng)受害者的妹子是華為員工,華為公司在P9被破解后,立馬發(fā)布了聲明,表示第一時(shí)間對(duì)主辦方提交道德漏洞進(jìn)行了慎重仔細(xì)的分析及修復(fù)工作。