10月25日,在被喻为“黑客奥运会”的GeekPwn大会上,多款智能手机被破解,包括小米、华为智能手机以及大疆无人机等智能硬件。
此次被破解的华为、小米手机分别为华为荣耀4A、小米4c,选手通过在两款手机上安装一个普通权限的app,利用本地提权漏洞获取系统的root权限,并替换了手机的开机画面。
值得注意的是,开机画面处于安卓系统的system只读分区中,只有取得了最高权限后才有可能替换。
不过,值得大家关注的是,来自Keen Team的flanker宣称成功Root 360奇酷手机,其破解的奇酷手机搭载的是360在GeekPwn前夜推出的最新版本048系统。但是这次破解的公正性却让人非常的质疑。
flanker所采用的“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别,并且用户的指纹信息并不会泄漏。打个形象的比喻,这种“破解”就像是主人需要先把家里钥匙交给小偷,小偷进屋后把锁拆了,然后再说锁不安全。所以笔者认为这次奇酷手机被破解与其说是手机有漏洞不如说是一次刻意的抹黑。
展开全文
从这GeekPwn大会上我们可以看出智能设备的安全成了这届大会的主题,虽然有很多智能设备都被攻破了,但是最让人关心以及担心的非手机莫属了。其实这也是一个必然的结果,随着智能手机取代电脑成了大家日常上网娱乐的主力设备,促使一些不择手段追逐利益的黑客开始对智能手机下手。
前段时间以安全封闭著称的苹果手机也接二连三的中招,先是XcodeGhost 病毒植入事件,导致多个国内的知名APP中招,这其中包括高德地图、简书、豌豆荚的开眼、网易公开课、下厨房、51卡保险箱、同花顺等一些知名的软件;紧接着,苹果公司又紧急下架了App Store上超256款应用。据苹果官方透露,下架这些应用是由于使用过名为有米(Youmi)的广告SDK,其中存在安全漏洞。而Android手机病毒更是由于缺乏有效的监管机制,成了黑客重点关注的对象,植入病毒泛滥。
看了这些安全问题,不知道你还有没有心思通过手机支付、转账、甚至还在手机中保留一些私密照片。其实,包括现在的小米华为魅族等国产手机厂商,甚至就连三星索尼这样的国际大厂都从来没有拿手机的安全问题当回事。每次我们看到发布会上,各家厂商都在竭尽全力的宣传手机的新功能,新设计等等,可能消费者对于手机安全的担忧并不是太多,如果手机厂商以安全为话题可能不会有太多的关注度。
但是国内有一家厂商却反其道而行之,这就是在大会上唯一没有被攻破的智能硬件——360奇酷手机。可能是出身于杀毒行业,360奇酷对于手机安全的敏感性更强, 奇酷手机所搭载的360 OS可以说是将安全整合到了系统底层,结合自家的硬件,可以说奇酷手机在安全性上还是非常的强大的。从这一点上来说,360奇酷手机相比其他手机厂商更加的务实。
虽然小米华为现在都在推出智能家居、智能可穿戴产品,但是我们用得越多我们的隐私可能就暴露的越多,谁都不想在家里安装个智能摄像头、智能电视;带个智能手表,最后都成为黑客监视我们、随意偷取我们隐私的工具。私以为,安全问题已经成了智能硬件普及最大的障碍,只要现在的手机厂商一天不把安全问题放在心上,那智能硬件就不会普及,因为手机只是智能硬件当中最简单的设备,如果黑客控制了全部智能硬件,那就不仅仅会涉及到隐私财产安全,就连我们的人身安全都有可能遭受威胁。
一切不以安全为基础的智能硬件都属耍流氓。
手机安全关系到了全体消费者的利益,也关系到了整个行业的发展,希望小米华为的等厂商能够引起重视,在安全上多下下功夫,否则出现大规模的安全事件,再谈安全就晚了