首页 > 业内新闻 > 手机 > 华为手机被“黑”得好惨,指纹锁形同虚设

华为手机被“黑”得好惨,指纹锁形同虚设

52RD.com 2016年10月25日 电子工程专辑            参与:13人 查看 我来说两句
  

  来自美国的团队在瞬间就突破了华为P9 Lite的防线,让他们不需透过使用者输入指纹,就能成功解锁手机,如入无人之境。

  1933老场坊今天属于2016 Geekpwn (黑客大赛)上海站赛场。

  这个历史上的屠宰场,在10月24日程序员的节日里,陈列了许多智能产品,它们像曾经要被屠宰的牛一般等待奇思妙想的黑客拿起“屠刀”。

  如果智能设备有情感,它们或许在瑟瑟发抖。在这个号称要“攻破一切”的活动上,黑客们扬言要突破无数0,创造无数1。

  华为手机指纹识别被轻易破解

  你的手机具备指纹识别功能吗?如果你的答案为“是”,那么在今日的黑客大赛中恐怕让你三官尽失——来自美国的团队在瞬间就突破了华为P9 Lite的防线,让他们不需透过使用者输入指纹,就能成功解锁手机,如入无人之境。

  GeekPwn黑客大会中,华为 P9 Lite 的指纹识别功能被攻破,令人感到惊讶。

  来自美国Shellphish黑客团队的Nick(上图中),在GeekPwn黑客大赛中,透过两阶段的攻击,瞬间攻破华为 P9 Lite 的指纹识别防线。 比赛规则如下:

  禁止选手接触手机; 禁止开启调试、连接调试线; 利用未公开漏洞; 可以获得root权限; 可以在trustzone信任的app中运行任意代码; 可以在trustzone内核中运行任意代码; 可以修改指纹验证模块,让任何人的指纹都能通过验证;

  两个妹子踊跃上台,作为录入指纹者和攻击者。在妹子的帮助下,这场攻坚战开始了,虽然现场观众觉得,可能一对情侣上台示范更有教育意义。Nick破解这部Huawei P9总共分了两步,第一步,他邀请一位现场人员在手机中输入指纹,作为手机的主人。在“受害者”录入指纹后,评委试了一下用自己的指纹能否开机,并不能。第二步,透过一步步教导另一个女生“攻击者”输入了攻击地址,从预定的地址下载攻击工具,打开App,接着通过这位攻击者的“鼻子”一触,就解锁了手机!

  坚固的防御都是从内部攻破

  透过展示内容我们可以得知,只要让黑客有机会在手机中安装他们的攻击工具(App),就可以让黑客轻松解锁手机,了解你存放在手机中的任何隐私资料,包含通讯录、照片、社群网站使用权等等。

  为了安全起见,黑客并没有公布他所采取的漏洞为何,但现场评论委员进一步解释了他的手法,也就是透过App取得Root全线,在进一步攻入指纹资料存储的区域─TrustZone。

  根据现场主持人的说名,这一次的攻击手法看起来简单,但黑客其实用到了高达“8”个漏洞。

  根据GeekPwn官方公布的资料,任何一款采用华为TrustZone的设备,都会受到以上攻击的影响,包含华为P8 Lite在内。

  不过,以上的攻击,看起来可怕,其实还是没那么严重的。因为整件事情的起头,还是得依靠使用者帮忙解锁手机,才能办得到。因此,透过“不要随便让陌生人使用你的手机”,应该可以加以防范。

  采访中,黑客揭示:

  因为这款手机有TrustZone,而这其中有漏洞,并非所有手机的指纹识别都能被攻破。而且,此次攻击只能近距离展开,无法远程操作。有趣的是,现场充当受害者的妹子是华为员工。

  而对于以上黑客攻击的过程,华为之后也进行了分析与修复。并且表示“任何智能手机都存在一定的安全漏洞。而攻破展示过程能督促我们不断发掘产品漏洞,持续检验产品的安全性,并让系统更为完善,让产品相对安全,防止用户的利益被恶意者侵犯。”

  从苹果iPhone 5s自2013年秋季发表以后,为智能手机领域带来一股“指纹识别”风潮。而为了保存使用者极为重要的“指纹”资料(因为指纹不像密码一样可以改变,一旦泄漏,后患无穷),包含芯片公司、手机商等都对于手机指纹资料的防护,下了一番功夫。以上攻破TrustZone的展示过程,不仅影响华为以及消费者,恐怕连手机芯片授权商ARM也会感到心惊!

52RD.com  微博关注:http://weibo.com/52rd  微信关注:admin_52RD
已有2位网友发表了看法 查看 我来说两句
读取...
相关报道
评 论
2楼 free_solution 发表于 2017-2-8 22:41 回复
如果要了解指纹在家用上的应用,可以先了解家用指纹锁,而锁芯行业15年沉淀的佳卫指纹锁,则可看华南地区核心代理freeyoui.com
1楼 52RD网友 211.144.*.* 发表于 2016-10-26 09:58 回复
这脸打的呢~~~~~~
不过话说回来,同样的手法在别的Android带指纹识别的手机上表现如何呢?
共有评论2篇 查看所有评论
业界快讯 NewsMORE>
新闻导航 Navigation
精彩评论 CommentMORE>
52RD网友:你这也黑得太明显了,也黑得太不专业了,GPU CPU都是ARM公版,就算华为没有解决功耗问题,就算发热巨大,但怎么可能同时发热巨大,又卡顿…
最牛中国芯!华为麒麟芯片用户量已突…
52RD网友:这种将手机爆炸归咎于电池以外原因的理论似乎有一些可信度,因为就算把手机电池换成由另外一家公司制造的产品,还是发生了爆炸事件。 ---…
处理器也被纳入Note 7爆炸元凶名单?…
52RD网友:虽然奇葩,但是仍然可以理解,好像ARM也是这种收费模式,好像就没人喷?!有种ARM也别用呀。 诚然高通可以规定每部手机收N美金的专利费…
无奈与无知:高通缘何在专利上屡屡发…
ggyy:买了两个,第一个用了两天退了,第二个系统体验差的咯,频繁死机、卡顿都不说了,好好的放个音乐聊个qq,只要两个应用同时响,那么手机不…
努比亚之殇:用了四年为何还没火起来
52RD网友:看来雷老板黔驴技穷,不得不回归传统广告代言,前后新国货手机,似乎没掀起多少量,现在只得忍痛请港台明星代言,若还搞不定,估计后面得…
小米Note 2即将发布 双曲面屏/梁朝伟…
特别推荐 Recommend