騰訊安全推動(dòng)修復(fù)安卓手機(jī)設(shè)計(jì)重大漏洞 產(chǎn)業(yè)鏈合力價(jià)值顯現(xiàn)

隨著全面屏手機(jī)的流行，安卓手機(jī)“屏下指紋”解鎖功能的安全性逐漸受到關(guān)注。在10月24日召開(kāi)的2018GeekPwn極棒上，騰訊安全玄武實(shí)驗(yàn)室首次公開(kāi)了針對(duì)屏下指紋解鎖型設(shè)備的“殘跡重用”漏洞——當(dāng)機(jī)主未擦掉屏幕上留下的指紋時(shí)，通過(guò)特殊方法利用屏幕上的指紋殘跡欺騙指紋識(shí)別系統(tǒng)，也能實(shí)現(xiàn)成功解鎖手機(jī)。

騰訊安全玄武實(shí)驗(yàn)室在發(fā)現(xiàn)該漏洞后，第一時(shí)間與華為等主流手機(jī)硬件廠商及上游芯片廠商商議修復(fù)方案，目前該漏洞已被全面修復(fù)。這次安全事件中多方合作的模式及效率，為移動(dòng)安全新時(shí)代下治理安全問(wèn)題提供了參考，進(jìn)一步推動(dòng)了產(chǎn)業(yè)鏈各環(huán)節(jié)攜手應(yīng)對(duì)安全問(wèn)題的常態(tài)化。

　　(騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸披露漏洞原理)

“手機(jī)硬件+芯片+安全”廠商通力合作 無(wú)感修復(fù)屏下指紋技術(shù)漏洞

手機(jī)全面屏趨勢(shì)下，屏下指紋技術(shù)被越來(lái)越多的手機(jī)廠商選擇。原因顯而易見(jiàn)，相對(duì)傳統(tǒng)的按鍵指紋解鎖，屏下指紋解鎖顯然給用戶(hù)帶來(lái)了全新的體驗(yàn)。然而，指紋解鎖的安全性始終是繞不過(guò)的話(huà)題。

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)在2018 GeekPwn極棒現(xiàn)場(chǎng)透露，“殘跡重用”漏洞屬于屏下指紋技術(shù)設(shè)計(jì)原理的通用性問(wèn)題，而非只存在于特定的手機(jī)型號(hào)和硬件產(chǎn)品中，因此影響面可能波及市面上使用該技術(shù)的所有安卓手機(jī)。

這意味著受該漏洞影響的并不僅僅是手機(jī)廠商，而在修復(fù)漏洞的問(wèn)題上更不是單獨(dú)的廠商能夠應(yīng)對(duì)的。基于此，騰訊安全玄武實(shí)驗(yàn)室在發(fā)現(xiàn)漏洞之后，率先將漏洞和解決方案提交給手機(jī)與相關(guān)硬件廠商，隨后進(jìn)一步溯源至上游芯片廠商，全面檢視該漏洞的風(fēng)險(xiǎn)面及潛在威脅。最終，在多方合作下，實(shí)現(xiàn)了“殘跡重用”漏洞的用戶(hù)無(wú)感修復(fù)。

此次安全團(tuán)隊(duì)與廠商合作修復(fù)漏洞的背后，折射出移動(dòng)安全新時(shí)代下產(chǎn)業(yè)鏈上的各個(gè)環(huán)節(jié)正在積極攜手共同面對(duì)安全問(wèn)題的趨勢(shì)。此次屏下指紋技術(shù)漏洞的修復(fù)，正是騰訊安全玄武實(shí)驗(yàn)室與華為等手機(jī)廠商共同協(xié)作的積極成果。

近幾年，以華為為代表的主流手機(jī)廠商，積極構(gòu)筑產(chǎn)品安全生態(tài)，積極參與BlackHat、GeekPwn等全球主流安全交流活動(dòng)，希望聯(lián)合業(yè)界力量，提早發(fā)現(xiàn)和解決產(chǎn)品安全問(wèn)題，不斷提升產(chǎn)品安全能力，目前已經(jīng)與包括騰訊安全玄武實(shí)驗(yàn)室在內(nèi)的全球主流安全企業(yè)、研究機(jī)構(gòu)和白帽組織建立了良性互動(dòng)關(guān)系。

　　(華為漏洞獎(jiǎng)勵(lì)計(jì)劃金牌合作伙伴授牌暨答謝會(huì)現(xiàn)場(chǎng))

與此同時(shí)，為進(jìn)一步加強(qiáng)與安全領(lǐng)域企業(yè)和組織的互動(dòng)和溝通，華為于近期推出了“漏洞獎(jiǎng)勵(lì)計(jì)劃”，向受邀安全研究者提供最高100萬(wàn)元人民幣的漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)和榮譽(yù)致謝，希望借助行業(yè)的共同力量，不斷提升產(chǎn)品安全性，全方位保障產(chǎn)品安全。騰訊安全玄武實(shí)驗(yàn)室作為該漏洞獎(jiǎng)勵(lì)計(jì)劃的金牌合作伙伴，將與華為應(yīng)急響應(yīng)中心一道對(duì)提交的漏洞進(jìn)行共同把關(guān)和評(píng)估。

多次披露重大研究成果 騰訊安全推動(dòng)行業(yè)合作常態(tài)化

通過(guò)此次漏洞的合作修復(fù)，多方攜手進(jìn)一步保障“屏下指紋”這一當(dāng)下前沿技術(shù)安全性的同時(shí)，也形成了一條“安全廠商發(fā)現(xiàn)問(wèn)題——廠商協(xié)作解決問(wèn)題——共建安全反饋機(jī)制”的響應(yīng)閉環(huán)。這與過(guò)往白帽黑客“單打獨(dú)斗”，向廠商匯報(bào)漏洞卻得不到重視已是天壤之別。

今年初，騰訊安全玄武實(shí)驗(yàn)室曾與知道創(chuàng)宇在京召開(kāi)發(fā)布會(huì)，聯(lián)合披露了安卓“應(yīng)用克隆”漏洞：只需用戶(hù)點(diǎn)擊一個(gè)鏈接，攻擊者便可輕松克隆用戶(hù)的賬戶(hù)權(quán)限，盜取用戶(hù)帳號(hào)及資金等，波及幾乎全部的安卓用戶(hù)。騰訊安全玄武實(shí)驗(yàn)室第一時(shí)間通過(guò)CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)向APP廠商通報(bào)了該情況，并給出修復(fù)方案，隨后更啟動(dòng)“玄武支援計(jì)劃”，協(xié)助廠商處理問(wèn)題;在此之前，和“殘跡重用”同類(lèi)型的技術(shù)層面漏洞BadBarcode因揭示了影響整個(gè)行業(yè)的存在了近二十年的重大安全隱患，得到國(guó)際安全界的廣泛關(guān)注和稱(chēng)譽(yù)，騰訊安全玄武實(shí)驗(yàn)室還因此榮獲WitAwards“年度最佳研究成果”獎(jiǎng)。

在騰訊安全的推動(dòng)下，行業(yè)攜手應(yīng)對(duì)安全問(wèn)題的決心和機(jī)制正在變得常態(tài)化。這在當(dāng)下同樣受關(guān)注的智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域也得到驗(yàn)證，騰訊安全七大實(shí)驗(yàn)室旗下的另一成員——科恩實(shí)驗(yàn)室，近年來(lái)多次發(fā)現(xiàn)特斯拉、寶馬等知名汽車(chē)廠商的漏洞，通過(guò)與廠商默契配合實(shí)現(xiàn)快速修復(fù)。同時(shí)，將車(chē)領(lǐng)域的安全能力開(kāi)放給行業(yè)和合作伙伴，與蔚來(lái)汽車(chē)、奧迪等車(chē)企共同搭建智能網(wǎng)聯(lián)汽車(chē)安全體系，充分詮釋了安全廠商+汽車(chē)廠商的良性互動(dòng)。今年5月，騰訊安全科恩實(shí)驗(yàn)室獲得寶馬集團(tuán)授予的全球首個(gè)“寶馬集團(tuán)數(shù)字化及IT研發(fā)技術(shù)獎(jiǎng)”，堪稱(chēng)智能網(wǎng)聯(lián)汽車(chē)安全生態(tài)構(gòu)建的一大里程碑事件。

數(shù)字經(jīng)濟(jì)時(shí)代，構(gòu)建安全安全生態(tài)需要更多責(zé)任主體的參與與合作。于旸對(duì)此也表示，騰訊安全玄武實(shí)驗(yàn)室將持續(xù)加強(qiáng)與業(yè)界和廠商的聯(lián)動(dòng)，深耕漏洞研究，輸出自身的安全能力，與第三方廠商共同筑造安全防線(xiàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。