华为P9指纹识别被破解 ARM也会惊心？

　　你的手机具备指纹识别功能吗？如果你的答案为“是”，那么针对以下这一条新闻，你应该要提高警觉，甚至要铭记在心。因为在今日于上海举办的GeekPwn骇客大赛中，来自美国的团队在瞬间就突破了华为P9 Lite的防线，让他们不需透过使用者输入指纹，就能成功解锁手机，如入无人之境。

　　我们一起回顾一下华为P9被破解的过程：

　　还记得电影里的场景吗？妹子为了检阅男友的手机，偷偷在他睡着时用在某宝上买的男友无隐私神器，偷偷印下了他的指纹膜，方便多次“检阅”，然后成功解锁了手机。

　　让女友放心，男友恐惧，可能会引发一场情侣间撕x大战的技术来了。

　　组委会给黑客Nick Stephens现场发放一台全新华为p9 lite手机，这台手机已经升级到最新版本。匪夷所思的是，黑客不需要任何设备，只需下载一个App即可。

　　规则如下：

　　禁止选手接触手机；

　　禁止开启调试、连接调试线；

　　利用未公开漏洞；

　　可以获得root权限；

　　可以在trustzone信任的app中运行任意代码；

　　可以在trustzone内核中运行任意代码；

　　可以修改指纹验证模块，让任何人的指纹都能通过验证；

　　两个妹子踊跃上台，作为录入指纹者和攻击者。在妹子的帮助下，这场攻坚战开始了，虽然现场观众觉得，可能一对情侣上台示范更有教育意义。

　　在“受害者”录入指纹后，评委试了一下用自己的指纹能否开机，并不能。“攻击者”输入了攻击地址，打开了App。

　　运行后，攻击者甚至可以用鼻子解锁这台手机。

　　采访中，黑客揭示：

　　因为这款手机有TrustZone，而这其中有漏洞，并非所有手机的指纹识别都能被攻破。而且，此次攻击只能近距离展开，无法远程操作。有趣的是，现场充当受害者的妹子是华为员工，华为公司在P9被破解后，立马发布了声明，表示第一时间对主办方提交道德漏洞进行了慎重仔细的分析及修复工作。

华为表示：

　　安全问题无小事，华为公司一直非常重视产品的系统安全问题，华为手机在出厂前有着非常严格的软硬件质量检测，并在销售后为用户提供比较全面的安全保护应用。对于十分重视用户安全的华为手机来说，安全极客的攻破演示无疑成为一次提高产品安全性的重要机会。具（App），就可以让骇客轻松解锁手机，了解你存放在手机中的任何隐私资料，包含通讯录、照片、社群网站使用权等等。

　　为了安全起见，骇客并没有公布他所采取的漏洞为何，但现场评论委员进一步解释了他的手法，也就是透过App取得Root全线，在进一步攻入指纹资料存储的区域─TrustZone。

　　根据现场主持人的说名，这一次的攻击手法看起来简单，但骇客其实用到了高达“8”个漏洞。

　　根据GeekPwn官方公布的资料，任何一款采用华为TrustZone的设备，都会受到以上攻击的影响，包含华为P8 Lite在内。

　　不过，以上的攻击，看起来可怕，其实还是没那么严重的。因为整件事情的起头，还是得依靠使用者帮忙解锁手机，才能办得到。因此，透过“不要随便让陌生人使用你的手机”，应该可以加以防范。

　　而对于以上骇客攻击的过程，华为之后也进行了分析与修复。并且表示“任何智能手机都存在一定的安全漏洞。而攻破展示过程能督促我们不断发掘产品漏洞，持续检验产品的安全性，并让系统更为完善，让产品相对安全，防止用户的利益被恶意者侵犯。”

　　从苹果iPhone 5s自2013年秋季发表以后，为智能手机领域带来一股“指纹识别”风潮。而为了保存使用者极为重要的“指纹”资料（因为指纹不像密码一样可以改变，一旦泄漏，后患无穷），包含芯片公司、手机商等都对于手机指纹资料的防护，下了一番功夫。以上攻破TrustZone的展示过程，不仅影响华为以及消费者，恐怕连手机芯片授权商ARM（安谋）也会感到心惊！
综合雷锋网、中时电子报整理报道