每日最新頭條.有趣資訊

一款安卓手機爆出系統漏洞!加密照片、APP密碼都會被攻擊

兩個來自廣州的IT從業者,出於業餘愛好對智能手機作業系統進行逆向工程分析,卻意外挖出了一個來自某TOP品牌安卓手機系統的漏洞!

在近日舉行的GeekPwn2018國際安全極客大賽現場,AMC團隊的兩名成員利用這一漏洞演示了如何在2分鐘內竊取一張被機主加密了的照片。據悉,他們是利用手機作業系統的漏洞,通過在手機中安裝一個惡意APP,可以用高權限調用其他組件,從而繞過私密相冊的身份驗證。

然而在挑戰結束後該團隊向南都記者表示,實際上這一漏洞所能做的遠遠不止破解加密相冊,而是可以解開手機內使用隱私密碼的APP密碼限制。

安卓手機漏洞破解現場

以下為南都記者專訪AMC團隊成員楊志偉、胡強實錄摘要:

南都:什麽時候發現這個漏洞的?

AMC:9月份。我們平時拿到新手機後都喜歡分析它的各種玩法,後來通過業餘逆向分析發現了這麽一個漏洞。可以通過這個漏洞向系統裡的一些應用發起攻擊,大部分可以設定密碼的app都可以被破解。

雖然我們隻演示了竊取照片,但是這個影響實際是很大的,一旦被惡意利用可以拿到被攻擊者的不光是照片甚至還有其他的隱私資訊。

解釋利用漏洞惡意攻擊的比喻原理

南都:這一漏洞是單款手機的還是某個品牌特有的?

AMC:暫發現是單個手機品牌的系統中的漏洞。目前國產手機系統都是基於安卓定製的,廠商在安卓的底層上進行了很多修改,其中難免會出現疏漏的地方。每次安卓最新的系統發布,也會有很多漏洞被發現,但谷歌很快會更新修複。

南都:現在這個漏洞是否被修複?

AMC:還沒,儘管更新了新系統,但我們測試發現新系統暫還有這個漏洞。因為該手機廠商安全漏洞響應中心藏得太深了,對外不是很明顯,我們沒找到管道和入口提交漏洞。

南都:接下來會如何修複?

AMC:漏洞已經提交給geekpwn 組委會了,組委會會很快會公布給手機廠商,但何時能夠修複還是要取決於手機廠商。

南都:對廠商和用戶的建議?

AMC:建議手機廠商抱著開放的心態,每家手機廠商可能自己也花了很大精力做安全,但安卓畢竟是開源的,蘋果都無法保證它的系統是安全的,所以希望手機廠商保持開放心態,多和開發者交流;其次手機廠商建議也需要加大安全方面的投入,現在的智能手機價格越來越貴,但若一味地拚美顏、攝影頭、AI,反而忽視了最底層的安全,底層安全問題沒有爆發還好,一旦爆發可能就是很嚴重的危機。尤其在萬物智能時代,如何保證最底層的安全是不容忽視的問題。

對用戶的建議是一定要更新到最新的系統,因為每一個更新的背後都會修複很多漏洞,另外也建議我們普通用戶自己也需要加強個人資訊的隱私保護。

除了軟體系統層面的漏洞之外,來自騰訊安全玄武實驗室的研究員馬卓在GeekPwn 2018現場首度演示了智能手機“螢幕指紋”技術的硬體漏洞。

南都記者在現場看到,馬卓用一張紙片在幾秒鐘內輕鬆解鎖了一款智能手機的螢幕指紋,並在十分鐘內將這一方法傳授給了主持人和評委。現場觀眾直呼“可怕”,眾所周知螢幕指紋技術是當下最流行的智能手機解鎖方案之一,包括華為、OPPO、vivo等廠商的產品均有使用。

螢幕指紋破解影片:

據其解釋目前的屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像,通過反射體欺騙的方法,可以利用螢幕上殘存的指紋痕跡,讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。據悉,該漏洞屬於屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的設備。

隨後騰訊玄武安全實驗室負責人於暘(TK教主)表示目前該漏洞已經被修複,“騰訊安全玄武實驗室早在今年初就開始和國內幾家主流手機廠商合作,不僅通過更新算法修複了已上市手機中的漏洞,還將相關解決方案提交給相關芯片廠商,推動了供應鏈層面的安全修複。”

采寫:南都記者 馬寧寧 實習生 盧潔萍

南都影片:許曉鑫 實習生 蔡佩君

獲得更多的PTT最新消息
按讚加入粉絲團