日前,由顶尖安全团队碁震(KEEN)主办 GeekPwn 国际安全极客大赛又开始了,在本次大会上,各种参赛的黑客依然使出了浑身解数,目的是爆出各种软件上的漏洞,赢取奖金的同时将漏洞提交给厂商,希望引起重视并快速修复。有意思的是,国产手机 OPPO R9 系列被无情破解了指纹锁。
本次参赛的队伍不少,例如俄罗斯技术过硬的 George Nosenko 团队,腾讯的 Wombie Attack 实验室 X 兴趣小组等等。其中,令机友可能比较感兴趣的是,专注于手机安全的 cafe-team 团队首次让国产品牌智能手机 OPPO R9 系列爆出了高危漏洞,据称该团队通过一个手机框架和系统组件内的漏洞就可直接禁用手机锁屏密码和指纹。
更具体来说,cafe-team 团队通过在 R9 系列手机中安装特别定制的 App,该 App 就能够利用指令让手机的解锁密码或指纹废除。因此,任何人再次解锁 OPPO R9 系列手机之时可轻松进入桌面,完全不需要密码、指纹,与使用一款无锁的手机无异。现在观众对此表示震惊,认为这一切发生太快,连生物识别今天都能轻松破解了吗?
不过很多人会问,用户难道不知道被安装了特定的 App 吗?实际上这与国内第三方应用市场横行有关,黑客只用利用市场存在的漏洞,并可将特定的 App 伪造成合法应用上架。所以,即便用户下载的是官方市场的 App,但依然是危险性极高的 App,你根本不知道伪装成了什么应用。而一旦安装,隐私、密码统统都会遭到泄露。
当然了,cafe-team 团队完成破解任务并领到奖金之后,所提交给 GeekPwn 组委会的漏洞,也由举办方提交给了 OPPO,并将协助修复漏洞。
不久之前,权威机构 Strategy Analytics 的数据显示, OPPO R9s 成为了全球第三大最畅销智能手机,其 2017 年第一季度的出货量达到了890 万部,是所有国产品牌智能手机畅销的一款。此次被破解相当于数千万用户正面临隐私和财产安全,若 OPPO 不及时修复后果不堪设想。