對(duì)于很多人而言，給手機(jī)設(shè)置一個(gè)密碼鎖意味著防止隱私泄露。不過(guò)就像《黑客軍團(tuán)》里所說(shuō)的一樣，這個(gè)世界沒(méi)有任何隱私可言。密碼鎖？解開(kāi)就是。

美國(guó)德克薩斯州一所大學(xué)的安全分析師John Gordon今日在博客上公布了一個(gè)廣泛存在于Android5.0及以上版本安卓手機(jī)的漏洞，通過(guò)簡(jiǎn)單幾步即可繞過(guò)鎖屏密碼進(jìn)入主屏。

具體操作方法是：先點(diǎn)擊緊急呼救，進(jìn)入緊急撥號(hào)界面，隨機(jī)輸入一組數(shù)字，并重復(fù)復(fù)制粘貼它，數(shù)次之后就自動(dòng)跳回鎖屏界面，這時(shí)再打開(kāi)攝像機(jī)，反復(fù)的按快門拍照，重復(fù)數(shù)次之后就可以進(jìn)入系統(tǒng)了！

不過(guò)攻擊也需要滿足一些條件：

攻擊者必須要接近設(shè)備；

用戶必須有設(shè)置密碼鎖（PIN碼鎖或是圖像鎖是無(wú)法被攻擊的）；

Gordon專門制作了操作的演示視頻，其中我們可以看到，繞過(guò)鎖屏之后，攻擊者可以輕松進(jìn)入開(kāi)發(fā)者模式，通過(guò)USB往你的手機(jī)里安裝惡意軟件。

Gordon目前只在Nexus手機(jī)上進(jìn)行了測(cè)試，但他相信其他運(yùn)行Android5.0及以上版本的安卓手機(jī)均可以進(jìn)行破解。

按照老規(guī)矩，發(fā)現(xiàn)漏洞者會(huì)在通知廠商之后一段時(shí)間，才選擇是否公開(kāi)該漏洞。而這次的漏洞早在6月底已被Gordon發(fā)現(xiàn)，并及時(shí)反映給了谷歌。谷歌在上個(gè)月發(fā)布了針對(duì)該漏洞的補(bǔ)丁，不過(guò)由于安卓手機(jī)體量太大，各種基于安卓系統(tǒng)二度開(kāi)發(fā)的系統(tǒng)比比皆是，碎片化過(guò)于嚴(yán)重，也給谷歌修補(bǔ)漏洞帶來(lái)了很大困難。目前除了谷歌自家的Nexus手機(jī)以外，其他廠商的手機(jī)還未收到該補(bǔ)丁。谷歌將這一漏洞的定義為“中度威脅”，與上次的高級(jí)漏洞“Stagefright”相比，這次的漏洞無(wú)法進(jìn)行遠(yuǎn)程攻擊。

密碼鎖作為最早的手機(jī)鎖定方式，已經(jīng)存在多年，也是最簡(jiǎn)易安全性最低的密碼鎖。不過(guò)因其使用方便同時(shí)還方便記憶，依然有很多人選擇使用密碼鎖。有外媒編輯吐槽道，“正如我們多年所見(jiàn)，密碼鎖毫無(wú)頂抗力，相反iOS的系統(tǒng)則很少遭到攻擊。”同時(shí)還建議，在谷歌還沒(méi)修復(fù)該漏洞前，大家還是使用PIN碼開(kāi)機(jī)或是圖像開(kāi)機(jī)，這樣遭到攻擊的可能性會(huì)小很多。

依據(jù)市場(chǎng)研究公司Strategy Analytics 給出的數(shù)據(jù)，2014年，安卓設(shè)備的出貨量超過(guò)10億臺(tái)，而這一數(shù)字在2015年有望創(chuàng)下全新紀(jì)錄。而同時(shí)安卓系統(tǒng)多年來(lái)一直在安全性方面飽受質(zhì)疑。依據(jù)安全公司F-Secure的說(shuō)法，今年第一季度，99%的移動(dòng)端惡意軟件都出現(xiàn)在安卓設(shè)備上。

在開(kāi)機(jī)安全上，果粉又要秀優(yōu)越感了。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。