你的手机具备指纹识别功能吗?如果你的答案为“是”,那么针对以下这一条新闻,你应该要提高警觉,甚至要铭记在心。因为在今日于上海举办的GeekPwn骇客大赛中,来自美国的团队在瞬间就突破了华为P9 Lite的防线,让他们不需透过使用者输入指纹,就能成功解锁手机,如入无人之境。
根据《雷峰网》报导,来自美国Shellphish骇客团队的Nike(首图中),在GeekPwn骇客大赛中,透过两阶段的攻击,瞬间攻破华为 P9 Lite 的指纹识别防线。第一步,他邀请一位现场人员在手机中输入指纹,作为手机的主人。第二步,透过一步步教导另一个女生与会者,从预定的网络地址下载攻击工具,接着,透过这位用户的“鼻子”一触,就解锁了手机!
透过展示内容我们可以得知,只要让骇客有机会在手机中安装他们的攻击工具(App),就可以让骇客轻松解锁手机,了解你存放在手机中的任何隐私资料,包含通讯录、照片、社群网站使用权等等。
为了安全起见,骇客并没有公布他所采取的漏洞为何,但现场评论委员进一步解释了他的手法,也就是透过App取得Root全线,在进一步攻入指纹资料存储的区域─TrustZone。
根据现场主持人的说名,这一次的攻击手法看起来简单,但骇客其实用到了高达“8”个漏洞。
根据GeekPwn官方公布的资料,任何一款采用华为TrustZone的设备,都会受到以上攻击的影响,包含华为P8 Lite在内。
不过,以上的攻击,看起来可怕,其实还是没那么严重的。因为整件事情的起头,还是得依靠使用者帮忙解锁手机,才能办得到。因此,透过“不要随便让陌生人使用你的手机”,应该可以加以防范。
而对于以上骇客攻击的过程,华为之后也进行了分析与修复。并且表示“任何智能手机都存在一定的安全漏洞。而攻破展示过程能督促我们不断发掘产品漏洞,持续检验产品的安全性,并让系统更为完善,让产品相对安全,防止用户的利益被恶意者侵犯。”
从苹果iPhone 5s自2013年秋季发表以后,为智能手机领域带来一股“指纹识别”风潮。而为了保存使用者极为重要的“指纹”资料(因为指纹不像密码一样可以改变,一旦泄漏,后患无穷),包含芯片公司、手机商等都对于手机指纹资料的防护,下了一番功夫。以上攻破TrustZone的展示过程,不仅影响华为以及消费者,恐怕连手机芯片授权商ARM(安谋)也会感到心惊!