【钛媒体综合】被喻为“黑客奥运会”的GeekPwn大会昨日在上海开幕，昨日大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机被成功Pwned（意被攻破）。当网友纷纷关心奇酷手机是否也被破译时，前方传来消息：参赛黑客“不负众望”，已找出刚刚发布的奇酷手机的漏洞并破解。

为此，360方面昨晚发表声明称，这个世界没有绝对安全的手机，但一定有最安全的手机。并同时指出，大赛中黑客flanker使用破解的方法存在特定前提，由于主办方暂未提供具体的漏洞细节，目前还无法验证其有效性。

针对所破解的“指纹识别功能”，360在声明中写到：

360奇酷手机“指纹识别功能”成为挑战对象，“破解”方法是把一台奇酷手机连接电脑，在手机上打开默认关闭的“信任设备”功能，然后输入正确的密码或指纹解锁手机，才能绕过手机的指纹验证。从这个演示来说，奇酷用户必须把手机插在黑客电脑上，并且告诉对方解锁密码，然后还要修改手机的默认设置，才能绕过手机的指纹识别，并且用户的指纹信息并不会泄漏。打个形象的比喻，这种“破解”就像是主人需要先把家里钥匙交给小偷，小偷进屋后把锁拆了，然后再说锁不安全。

对于现场演示的360奇酷手机的Root等漏洞，由于主办方暂未提供具体的漏洞细节，目前我们还无法验证其有效性，奇酷手机将就此与相关人员积极沟通。

值得注意的是，日前，360奇酷手机官方宣布，未来将每个月更新一次这款手机的安全补丁，以确保给手机用户持续提供安全可靠的服务。360官方称其安全性甚至超过苹果。

此次，为黑客提供舞台的“GeekPwn”社区中文名为“极棒”，是一个智能生活安全社区。Geek，极客，狂热喜爱技术的一群人。Pwn，安全领域专有名词，通常意指突破安全限制。今年的极棒嘉年华于10月24日至25日在中国上海举行，在2014基础上增加了“互联网+、移动支付、SSL/TLS专场”等项目。

其中，“智能设备上指纹泄漏攻击”一项中单项最高奖金为50万，参考场景及评判标准为“设备是否对指纹系统进行保护，比如是否使用trustzone；获得指纹的前置条件，比如是否需要root；逆向指纹设备协议或图像解码的复杂程度。”

附一：奇酷科技针对 “腾讯黑客大赛寻找360奇酷手机漏洞” 的声明：

10月24日，由腾讯赞助举办的黑客破解挑战赛上，部分环节以360奇酷手机作为破解对象，我们支持腾讯这样的互联网巨头重视、资助类似破解活动，即“提供一个环境，让安全研究人员帮助识别潜在的安全漏洞”，这有助于推进360奇酷手机在安全方面的发展。

这个世界没有绝对安全的手机，但一定有最安全的手机。包括特斯拉、苹果等知名硬件企业也曾遭到诸多黑客的破解，针对破解大赛具体细节，360奇酷手机声明如下：

1、活动中，360奇酷手机“指纹识别功能”成为挑战对象，“破解”方法是把一台奇酷手机连接电脑，在手机上打开默认关闭的“信任设备”功能，然后输入正确的密码或指纹解锁手机，才能绕过手机的指纹验证。从这个演示来说，奇酷用户必须把手机插在黑客电脑上，并且告诉对方解锁密码，然后还要修改手机的默认设置，才能绕过手机的指纹识别，并且用户的指纹信息并不会泄漏。打个形象的比喻，这种“破解”就像是主人需要先把家里钥匙交给小偷，小偷进屋后把锁拆了，然后再说锁不安全。对于现场演示的360奇酷手机的Root等漏洞，由于主办方暂未提供具体的漏洞细节，目前我们还无法验证其有效性，奇酷手机将就此与相关人员积极沟通。

2、360奇酷手机承诺每月更新一次安全补丁，是中国唯一一部与Google同步更新安全补丁的手机。我们非常重视手机和用户的安全，希望与更多安全研究人员共同合作，以负责任的态度验证、重现、应对和修复报告中的漏洞。感谢所有能帮助我们发现并提交漏洞的研究人员，让我们距“最安全的手机”更进一步。

3、360奇酷手机于10月22日发起的“72小时安全漏洞挑战赛”目前正在进行中，对发现并提交有价值漏洞的个人或组织予以重奖，我们鼓励黑客人员积极参与挑战赛，同样有机会获得大奖。任何产品都存在漏洞，重要的是及时发现和修复，360帮助微软、谷歌、苹果等国际巨头修复了上百个高危漏洞，从2013年开始，360在国内率先为漏洞报告者提供现金奖励，目前已发出数百万元奖金，有力保障了360用户的安全。

4、360奇酷手机为每一位用户准备了全年最高赔付12万的奇酷财产险。即使用户遭遇安全风险，也能最大程度挽回损失。我们将继续支持并奖励安全研究人员发现、提交并修复漏洞的举措。这世界没有天衣无缝的产品，但是有对用户安全负责任的企业。

附二：其他被攻破的智能设备

大疆无人机：选手需要在不接触无人机遥控器的情况下，获取无人机的控制权。

华为荣耀4A、小米4C：选手通过在两款手机上安装一个普通权限的app，利用本地提权漏洞获取系统的root权限，并替换了手机的开机画面。

拉卡拉收款宝POS机：选手通过安卓手机绑定拉卡拉收款宝POS机，并在手机上安装Xposed模块去劫持交易信息，接着再用银行卡（如招商银行卡）完成一次查询余额的动作，之后会将交易信息劫持下来，然后用另一张卡（如公积金卡）去刷卡转帐，输入任意密码就可以转走前面招行卡上的余额。整个过程选手本身并未直接接触该银行卡，更没有获得该卡密码。

智能摄像头：选手接入摄像头所在的网络，远程向摄像头发起攻击，远程获得摄像头ROOT权限，并进一步窃取视频、控制摄像头运动、播放篡改音频。（选手同时攻破了多款智能摄像头，包括：小蚁智能摄像头、中兴小兴看看智能摄像头、联想看家宝、乔安770MR-W 无线网络监控摄像头、沃仕达T7866WIP 网络摄像机、凯聪 1303 720P百万高清网络摄像机。）