北京2015年10月27日電 /美通社/ -- 上個(gè)周末,一場(chǎng)看似嚴(yán)肅的挑戰(zhàn)賽�,卻被演繹成了一場(chǎng)鬧劇。10月24日��,該劇在被喻為“黑客奧運(yùn)會(huì)”的GeekPwn大會(huì)上熱鬧上演�����,而出道不久��,目前風(fēng)頭正盛的360奇酷手機(jī)被牽扯其中�。同時(shí)被GeekPwn陸續(xù)攻破的還有蘋(píng)果的iOS 9.1、大疆無(wú)人機(jī)��、小米4C�����、華為榮耀4A等智能產(chǎn)品�。
騰訊黑客大賽挑戰(zhàn)蘋(píng)果和奇酷�,意圖共造較安全手機(jī)�����?
在此次由騰訊贊助舉辦的黑客挑戰(zhàn)賽中�����,部分環(huán)節(jié)以360奇酷手機(jī)中提供的“指紋識(shí)別”功能為破解對(duì)象��,“破解”方法是把一臺(tái)奇酷手機(jī)連接電腦�����,在手機(jī)上打開(kāi)默認(rèn)關(guān)閉的“信任設(shè)備”功能�,然后輸入正確的密碼或指紋解鎖手機(jī),才能繞過(guò)手機(jī)的指紋驗(yàn)證�。從這個(gè)演示來(lái)說(shuō),奇酷用戶(hù)必須把手機(jī)插在黑客電腦上��,并且告訴對(duì)方解鎖密碼�,然后還要修改手機(jī)的默認(rèn)設(shè)置,才能繞過(guò)手機(jī)的指紋識(shí)別�����。由于這一做法并不嚴(yán)謹(jǐn)�����,就像主人事先將鑰匙交給小偷�,然后讓小偷進(jìn)屋后把鎖拆了,再說(shuō)鎖不安全一樣充滿(mǎn)詭異�����。
同時(shí)鑒于騰訊和360以前早有恩怨��,再過(guò)一周��,是2010年3Q大戰(zhàn)5周年,因此許多網(wǎng)友認(rèn)為�����,這應(yīng)該是騰訊“雞蛋里挑骨頭”��,意在打壓360手機(jī)��。不過(guò)�����,看來(lái)360奇酷并不這么認(rèn)為�。
在360奇酷手機(jī)官微發(fā)布的《奇酷科技針對(duì) “騰訊黑客大賽尋找360奇酷手機(jī)漏洞”聲明》中,大家驚奇地發(fā)現(xiàn)��,一改3Q大戰(zhàn)時(shí)期360的針?shù)h相對(duì)��、拔劍相向的硬性作派�,有著濃烈360基因的360奇酷卻并沒(méi)有對(duì)此次挑戰(zhàn)現(xiàn)表現(xiàn)出任何仇視的成份�。相反,對(duì)于騰訊能贊助此類(lèi)活動(dòng)�����,給予了充分肯定。在聲明中360奇酷表示:“支持騰訊這樣的互聯(lián)網(wǎng)巨頭重視��、資助類(lèi)似破解活動(dòng)�,即‘提供一個(gè)環(huán)境,讓安全研究人員幫助識(shí)別潛在的安全漏洞’�����,這有助于推進(jìn)360奇酷手機(jī)在安全方面的發(fā)展�。”而對(duì)于現(xiàn)場(chǎng)演示的360奇酷手機(jī)的Root等漏洞��,由于主辦方暫未提供具體的漏洞細(xì)節(jié)��,360奇酷認(rèn)為:“還無(wú)法驗(yàn)證其有效性�����,奇酷手機(jī)將就此與相關(guān)人員積極溝通��?����!蓖瑫r(shí)對(duì)發(fā)現(xiàn)并提交漏洞的研究人員表示了感謝�,因?yàn)檫@讓360手機(jī)“距較安全的手機(jī)更進(jìn)一步��?!?/p>
此聲明由于態(tài)度冷靜�、客觀,并在第一時(shí)間對(duì)所找出的漏洞做出了積極回應(yīng)�,被業(yè)內(nèi)稱(chēng)為是最具業(yè)內(nèi)良心的聲明,有網(wǎng)友調(diào)侃稱(chēng)“大疆��、小米�����、華為等此次被攻破的其他企業(yè)��,聲明都不需要寫(xiě)了�����,就拿360奇酷這份改改就好�����?�!?/p>
實(shí)際上��,除360奇酷手機(jī)外�,此次被選中進(jìn)行安全挑戰(zhàn)并被最終破解的國(guó)內(nèi)手機(jī)還包括華為榮耀4A、小米4C��。選手通過(guò)在兩款手機(jī)上安裝一個(gè)普通權(quán)限的app��,利用本地提權(quán)漏洞獲取了系統(tǒng)的root權(quán)限��,替換了手機(jī)的開(kāi)機(jī)畫(huà)面�。值得注意的是,開(kāi)機(jī)畫(huà)面處于安卓系統(tǒng)的system只讀分區(qū)中��,只有取得了較高權(quán)限后才有可能替換�����。
在所有被挑戰(zhàn)的手機(jī)中�����,360手機(jī)被破解的難度較大�����,而且是基于事先知道密碼的情況下,同時(shí)由于此次被挑戰(zhàn)的并非只有360手機(jī)一款機(jī)型�����,GeekPwn團(tuán)隊(duì)是在騰訊的授意下特別針對(duì)360手機(jī)的說(shuō)法并不確切�。
為了驗(yàn)證手機(jī)的安全性,給用戶(hù)一個(gè)放心的用機(jī)環(huán)境�����,實(shí)際上�,360手機(jī)此前于10月22日發(fā)起了“72小時(shí)安全漏洞挑戰(zhàn)賽”, 鼓勵(lì)黑客人員積極參與挑戰(zhàn)賽��,同時(shí)對(duì)發(fā)現(xiàn)并提交有價(jià)值漏洞的個(gè)人或組織予以重獎(jiǎng)��。至今為止�,360已幫助微軟、谷歌�����、蘋(píng)果等國(guó)際巨頭修復(fù)了上百個(gè)高危漏洞�����,從2013年開(kāi)始,360開(kāi)始在國(guó)內(nèi)率先為漏洞報(bào)告者提供現(xiàn)金獎(jiǎng)勵(lì)�����,目前已發(fā)出數(shù)百萬(wàn)元獎(jiǎng)金�,有力地保證了360用戶(hù)的安全�����。
對(duì)于此次挑戰(zhàn)結(jié)果�,360董事長(zhǎng)周鴻祎表示:這個(gè)世界沒(méi)有絕對(duì)安全的手機(jī),但一定有較安全的手機(jī)�����。包括特斯拉�、蘋(píng)果等知名硬件企業(yè)也曾遭到諸多黑客的破解。他同時(shí)表示�,360手機(jī)會(huì)認(rèn)真對(duì)待朋友們找出的所有漏洞,并會(huì)在第一時(shí)間進(jìn)行修補(bǔ)�,360手機(jī)無(wú)論是現(xiàn)在還是將來(lái),都會(huì)是用戶(hù)手機(jī)較安全的手機(jī)��。
關(guān)于此次GeekPwn大會(huì)上為什么會(huì)選中出道不久的360奇酷手機(jī)作為挑戰(zhàn)對(duì)象�����,一位不愿透露姓名的“黑客”指出“對(duì)于奇酷手機(jī)來(lái)說(shuō),有大量的黑客和手機(jī)圈同行�,甚至還有一些巨頭公司都希望找出它的漏洞,主要原因是奇酷手機(jī)主打安全��,產(chǎn)品知名度與影響力高�,作為安全界人士也更愿意挑戰(zhàn)這樣的產(chǎn)品。這樣的破解也并非對(duì)360手機(jī)就是負(fù)面影響�����,反而是共筑安全的一個(gè)捷徑�。”
根據(jù)此次360奇酷聲明和360此前舉辦的“72小時(shí)安全漏洞挑戰(zhàn)賽”來(lái)看�����,360奇酷顯然非常歡迎這種挑戰(zhàn)�,因?yàn)閷?duì)他們來(lái)說(shuō),這些黑客和同行事實(shí)上是360奇酷手機(jī)較好的安全測(cè)試員��,就好像全球黑客都是微軟的安全測(cè)試員一樣�����。
圖片 - http://photos.prnasia.com/prnh/20151027/0861510259
