今天，在上海舉行的 GeekPwn（極棒）黑客大賽上，來自美國 Shellphish 團隊的黑客 Nick 成功攻破了一部全新的華為 P9 Lite 手機。

在舞臺上，Nick 呼喚了兩位妹子作為小助手，攻擊分為兩步：

1、手把手讓一位妹子錄入指紋，裝作手機的主人；

2、手把手讓另一位妹子從預(yù)定地址下載了攻擊工具，然后用她的鼻尖輕輕一觸，手機瞬間被打開。

整個過程極其快速，現(xiàn)場觀眾甚至還沒明白發(fā)生什么，這部手機的所有權(quán)限就已經(jīng)被黑客取得。

這個攻擊意味著，如果黑客有機會在你的手機上安裝他的 App，那么他可以隨時隨地解鎖手機，查看你的小秘密了。

根據(jù) GeekPwn 創(chuàng)始人王琦在現(xiàn)場介紹，這個攻擊看起來簡單，但實際上動用了多達八個漏洞，可謂“一黑到底”。

不過，為了安全起見，這位黑客并不打算在現(xiàn)場透露他攻擊的具體原理。不過現(xiàn)場評委透漏，基本的攻擊路徑是從 App 開始，獲得 Root 權(quán)限，進而進入指紋存儲的核心區(qū)域：TrustZone。

根據(jù) GeekPwn 官方消息，任何使用 HUAWEI TrustZone 服務(wù)的設(shè)備，都會受到這種攻擊的影響，包括前代的華為 P8 Lite。

這是全球首次攻破手機指紋解鎖的展示。在這之前，很多安全研究人員都認為，我們的指紋和其他機密依靠強大的硬件加密是安全無虞的。但是，黑客的攻擊告訴我們，并不要這么樂觀，即使防護系統(tǒng)安全性再強，也不要無條件地信任。

由于這個攻擊需要黑客對手機在解鎖狀態(tài)下進行物理接觸，也就是說黑客要先讓你幫忙解鎖手機，才可以繼續(xù)進攻。顯然，這樣的攻擊條件還是比較嚴(yán)格的。

至于如何避免 Nick 用他的鼻子或者任何身體的其他部位解鎖你的手機，雷鋒網(wǎng)宅客頻道的建議是：

1、不要讓手機離開視線；

2、盡量不要和黑客交朋友。

后續(xù)：

在現(xiàn)場演示發(fā)現(xiàn)的漏洞被攻破之后，華為第一時間對主辦方提供的漏洞進行了慎重仔細的分析及修復(fù)工作，以保障華為手機系統(tǒng)的安全性進一步提升。

華為方面表示：

任何智能手機都存在著一定的未知安全漏洞，而攻破演示可以督促我們不斷發(fā)覺產(chǎn)品漏洞，持續(xù)地檢驗系統(tǒng)的可靠性，不斷完善系統(tǒng)，使產(chǎn)品保持在相對安全的狀態(tài)，避免用戶利益被惡意者侵犯。

安全問題無小事，華為公司一直非常重視產(chǎn)品的系統(tǒng)安全問題，華為手機在出廠前有著非常嚴(yán)格的軟硬件質(zhì)量檢測，并在銷售后為用戶提供比較全面的安全保護應(yīng)用。對于十分重視用戶安全的華為手機來說，安全極客的攻破演示無疑成為一次提高產(chǎn)品安全性的重要機會。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。