奇酷手机被黑客攻破,360回应“没有绝对安全的手机”

摘要: GeekPwn大赛上,黑客找出刚刚发布的奇酷手机的漏洞并成功破解。为此,360方面昨晚发表声明称,这个世界没有绝对安全的手机,但一定有最安全的手机。

【钛媒体综合】被喻为“黑客奥运会”的GeekPwn大会昨日在上海开幕,昨日大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机被成功Pwned(意被攻破)。当网友纷纷关心奇酷手机是否也被破译时,前方传来消息:参赛黑客“不负众望”,已找出刚刚发布的奇酷手机的漏洞并破解。

为此,360方面昨晚发表声明称,这个世界没有绝对安全的手机,但一定有最安全的手机。并同时指出,大赛中黑客flanker使用破解的方法存在特定前提,由于主办方暂未提供具体的漏洞细节,目前还无法验证其有效性。

针对所破解的“指纹识别功能”,360在声明中写到:

360奇酷手机“指纹识别功能”成为挑战对象,“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别,并且用户的指纹信息并不会泄漏。打个形象的比喻,这种“破解”就像是主人需要先把家里钥匙交给小偷,小偷进屋后把锁拆了,然后再说锁不安全。

对于现场演示的360奇酷手机的Root等漏洞,由于主办方暂未提供具体的漏洞细节,目前我们还无法验证其有效性,奇酷手机将就此与相关人员积极沟通。

值得注意的是,日前,360奇酷手机官方宣布,未来将每个月更新一次这款手机的安全补丁,以确保给手机用户持续提供安全可靠的服务。360官方称其安全性甚至超过苹果。

此次,为黑客提供舞台的“GeekPwn”社区中文名为“极棒”,是一个智能生活安全社区。Geek,极客,狂热喜爱技术的一群人。Pwn,安全领域专有名词,通常意指突破安全限制。今年的极棒嘉年华于10月24日至25日在中国上海举行,在2014基础上增加了“互联网+、移动支付、SSL/TLS专场”等项目。

其中,“智能设备上指纹泄漏攻击”一项中单项最高奖金为50万,参考场景及评判标准为“设备是否对指纹系统进行保护,比如是否使用trustzone;获得指纹的前置条件,比如是否需要root;逆向指纹设备协议或图像解码的复杂程度。”

附一:奇酷科技针对 “腾讯黑客大赛寻找360奇酷手机漏洞” 的声明:

10月24日,由腾讯赞助举办的黑客破解挑战赛上,部分环节以360奇酷手机作为破解对象,我们支持腾讯这样的互联网巨头重视、资助类似破解活动,即“提供一个环境,让安全研究人员帮助识别潜在的安全漏洞”,这有助于推进360奇酷手机在安全方面的发展。

这个世界没有绝对安全的手机,但一定有最安全的手机。包括特斯拉、苹果等知名硬件企业也曾遭到诸多黑客的破解,针对破解大赛具体细节,360奇酷手机声明如下:

1、活动中,360奇酷手机“指纹识别功能”成为挑战对象,“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别,并且用户的指纹信息并不会泄漏。打个形象的比喻,这种“破解”就像是主人需要先把家里钥匙交给小偷,小偷进屋后把锁拆了,然后再说锁不安全。对于现场演示的360奇酷手机的Root等漏洞,由于主办方暂未提供具体的漏洞细节,目前我们还无法验证其有效性,奇酷手机将就此与相关人员积极沟通。

2、360奇酷手机承诺每月更新一次安全补丁,是中国唯一一部与Google同步更新安全补丁的手机。我们非常重视手机和用户的安全,希望与更多安全研究人员共同合作,以负责任的态度验证、重现、应对和修复报告中的漏洞。感谢所有能帮助我们发现并提交漏洞的研究人员,让我们距“最安全的手机”更进一步。

3、360奇酷手机于10月22日发起的“72小时安全漏洞挑战赛”目前正在进行中,对发现并提交有价值漏洞的个人或组织予以重奖,我们鼓励黑客人员积极参与挑战赛,同样有机会获得大奖。任何产品都存在漏洞,重要的是及时发现和修复,360帮助微软、谷歌、苹果等国际巨头修复了上百个高危漏洞,从2013年开始,360在国内率先为漏洞报告者提供现金奖励,目前已发出数百万元奖金,有力保障了360用户的安全。

4、360奇酷手机为每一位用户准备了全年最高赔付12万的奇酷财产险。即使用户遭遇安全风险,也能最大程度挽回损失。我们将继续支持并奖励安全研究人员发现、提交并修复漏洞的举措。这世界没有天衣无缝的产品,但是有对用户安全负责任的企业。

附二:其他被攻破的智能设备

大疆无人机:选手需要在不接触无人机遥控器的情况下,获取无人机的控制权。

华为荣耀4A、小米4C:选手通过在两款手机上安装一个普通权限的app,利用本地提权漏洞获取系统的root权限,并替换了手机的开机画面。

拉卡拉收款宝POS机:选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡(如招商银行卡)完成一次查询余额的动作,之后会将交易信息劫持下来,然后用另一张卡(如公积金卡)去刷卡转帐,输入任意密码就可以转走前面招行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

智能摄像头:选手接入摄像头所在的网络,远程向摄像头发起攻击,远程获得摄像头ROOT权限,并进一步窃取视频、控制摄像头运动、播放篡改音频。(选手同时攻破了多款智能摄像头,包括:小蚁智能摄像头、中兴小兴看看智能摄像头、联想看家宝、乔安770MR-W 无线网络监控摄像头、沃仕达T7866WIP 网络摄像机、凯聪 1303 720P百万高清网络摄像机。)

本文系钛媒体原创,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

钛媒体
钛媒体

中国领先的财经科技信息服务提供商。关注微信公众号:钛媒体(ID:taimeiti), 旨在为创新、创业、创造人群,提供最高效、最专业,最具价值的信息交流平台,和相关的职业与资本服务。我们拥有行业内最高质量的内容、作者(意见领袖)及产品线,通过连接最具创造力的创新、创业及变革者,打造中国最大的线上影响力社群。

评论(21

  • jack123 jack123 2015-10-27 17:24 via pc

    意动力社区是最好的网络营销、网络推广交流社区,免费学习全网营销知识。 bbs.ecomgear.cn

    0
    0
    回复
  • 钛pmrYP1 钛pmrYP1 2015-10-27 13:40 via pc

    大牛屌到没朋友!!!黑客巅峰战 中国黑马17秒攻破IE浏览器_网络安全新闻资讯-中关村在线

    0
    0
    回复
  • 公输小七 公输小七 2015-10-27 11:43 via pc

    太打脸了

    0
    0
    回复
  • heaton heaton 2015-10-26 13:48 via pc

    你跟他讲道理,他和你耍流氓;你和他耍流氓。他和你讲法律;你和他讲法律,他和你玩文案;你和他玩文案,他告诉你这是通病

    2
    0
    回复
  • 雷明之 雷明之 2015-10-26 11:07 via weibo

    黑客破坏安全,公司捍卫安全,这种基本矛盾推动社会进步的动力!#网络领导#

    0
    0
    回复
  • 狗腿子弯农夫 狗腿子弯农夫 回复SteveLee 2015-10-26 10:47 via pc

    杀毒? 你错啦,在移动端百度卫士要比360卫士靠谱的多。我们做手游长期测试的经验啊!

    1
    0
    查看对话
    回复
  • 史涛 史涛 2015-10-26 08:45 via android

    不联网就安全了,哈哈

    0
    0
    回复
  • 风萧萧兮 风萧萧兮 2015-10-26 07:02 via android

    这种活动要多点

    0
    0
    回复
  • 疯人院18床 疯人院18床 2015-10-26 04:58 via android

    当出现问题的时候,第一时间不是不是辩解,是承担责任,然后把它做的更好。辩解在人们眼里意味推脱责任。并且还是你的强项,就算它是免费的。

    1
    0
    回复
  • 有棵皂角树 有棵皂角树 2015-10-26 01:02 via weibo

    拿”安全“当噱头的手机品牌只有奇酷吧[挖鼻]

    1
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈