北京2015年10月27日電 /美通社/ -- 上個(gè)周末,一場(chǎng)看似嚴(yán)肅的挑戰(zhàn)賽,卻被演繹成了一場(chǎng)鬧劇。10月24日,該劇在被喻為“黑客奧運(yùn)會(huì)”的GeekPwn大會(huì)上熱鬧上演,而出道不久,目前風(fēng)頭正盛的360奇酷手機(jī)被牽扯其中。同時(shí)被GeekPwn陸續(xù)攻破的還有蘋(píng)果的iOS 9.1、大疆無(wú)人機(jī)、小米4C、華為榮耀4A等智能產(chǎn)品。
在此次由騰訊贊助舉辦的黑客挑戰(zhàn)賽中,部分環(huán)節(jié)以360奇酷手機(jī)中提供的“指紋識(shí)別”功能為破解對(duì)象,“破解”方法是把一臺(tái)奇酷手機(jī)連接電腦,在手機(jī)上打開(kāi)默認(rèn)關(guān)閉的“信任設(shè)備”功能,然后輸入正確的密碼或指紋解鎖手機(jī),才能繞過(guò)手機(jī)的指紋驗(yàn)證。從這個(gè)演示來(lái)說(shuō),奇酷用戶必須把手機(jī)插在黑客電腦上,并且告訴對(duì)方解鎖密碼,然后還要修改手機(jī)的默認(rèn)設(shè)置,才能繞過(guò)手機(jī)的指紋識(shí)別。由于這一做法并不嚴(yán)謹(jǐn),就像主人事先將鑰匙交給小偷,然后讓小偷進(jìn)屋后把鎖拆了,再說(shuō)鎖不安全一樣充滿詭異。
同時(shí)鑒于騰訊和360以前早有恩怨,再過(guò)一周,是2010年3Q大戰(zhàn)5周年,因此許多網(wǎng)友認(rèn)為,這應(yīng)該是騰訊“雞蛋里挑骨頭”,意在打壓360手機(jī)。不過(guò),看來(lái)360奇酷并不這么認(rèn)為。
在360奇酷手機(jī)官微發(fā)布的《奇酷科技針對(duì) “騰訊黑客大賽尋找360奇酷手機(jī)漏洞”聲明》中,大家驚奇地發(fā)現(xiàn),一改3Q大戰(zhàn)時(shí)期360的針?shù)h相對(duì)、拔劍相向的硬性作派,有著濃烈360基因的360奇酷卻并沒(méi)有對(duì)此次挑戰(zhàn)現(xiàn)表現(xiàn)出任何仇視的成份。相反,對(duì)于騰訊能贊助此類(lèi)活動(dòng),給予了充分肯定。在聲明中360奇酷表示:“支持騰訊這樣的互聯(lián)網(wǎng)巨頭重視、資助類(lèi)似破解活動(dòng),即‘提供一個(gè)環(huán)境,讓安全研究人員幫助識(shí)別潛在的安全漏洞’,這有助于推進(jìn)360奇酷手機(jī)在安全方面的發(fā)展?!倍鴮?duì)于現(xiàn)場(chǎng)演示的360奇酷手機(jī)的Root等漏洞,由于主辦方暫未提供具體的漏洞細(xì)節(jié),360奇酷認(rèn)為:“還無(wú)法驗(yàn)證其有效性,奇酷手機(jī)將就此與相關(guān)人員積極溝通?!蓖瑫r(shí)對(duì)發(fā)現(xiàn)并提交漏洞的研究人員表示了感謝,因?yàn)檫@讓360手機(jī)“距較安全的手機(jī)更進(jìn)一步?!?/p>
此聲明由于態(tài)度冷靜、客觀,并在第一時(shí)間對(duì)所找出的漏洞做出了積極回應(yīng),被業(yè)內(nèi)稱為是最具業(yè)內(nèi)良心的聲明,有網(wǎng)友調(diào)侃稱“大疆、小米、華為等此次被攻破的其他企業(yè),聲明都不需要寫(xiě)了,就拿360奇酷這份改改就好。”
實(shí)際上,除360奇酷手機(jī)外,此次被選中進(jìn)行安全挑戰(zhàn)并被最終破解的國(guó)內(nèi)手機(jī)還包括華為榮耀4A、小米4C。選手通過(guò)在兩款手機(jī)上安裝一個(gè)普通權(quán)限的app,利用本地提權(quán)漏洞獲取了系統(tǒng)的root權(quán)限,替換了手機(jī)的開(kāi)機(jī)畫(huà)面。值得注意的是,開(kāi)機(jī)畫(huà)面處于安卓系統(tǒng)的system只讀分區(qū)中,只有取得了較高權(quán)限后才有可能替換。
在所有被挑戰(zhàn)的手機(jī)中,360手機(jī)被破解的難度較大,而且是基于事先知道密碼的情況下,同時(shí)由于此次被挑戰(zhàn)的并非只有360手機(jī)一款機(jī)型,GeekPwn團(tuán)隊(duì)是在騰訊的授意下特別針對(duì)360手機(jī)的說(shuō)法并不確切。
為了驗(yàn)證手機(jī)的安全性,給用戶一個(gè)放心的用機(jī)環(huán)境,實(shí)際上,360手機(jī)此前于10月22日發(fā)起了“72小時(shí)安全漏洞挑戰(zhàn)賽”, 鼓勵(lì)黑客人員積極參與挑戰(zhàn)賽,同時(shí)對(duì)發(fā)現(xiàn)并提交有價(jià)值漏洞的個(gè)人或組織予以重獎(jiǎng)。至今為止,360已幫助微軟、谷歌、蘋(píng)果等國(guó)際巨頭修復(fù)了上百個(gè)高危漏洞,從2013年開(kāi)始,360開(kāi)始在國(guó)內(nèi)率先為漏洞報(bào)告者提供現(xiàn)金獎(jiǎng)勵(lì),目前已發(fā)出數(shù)百萬(wàn)元獎(jiǎng)金,有力地保證了360用戶的安全。
對(duì)于此次挑戰(zhàn)結(jié)果,360董事長(zhǎng)周鴻祎表示:這個(gè)世界沒(méi)有絕對(duì)安全的手機(jī),但一定有較安全的手機(jī)。包括特斯拉、蘋(píng)果等知名硬件企業(yè)也曾遭到諸多黑客的破解。他同時(shí)表示,360手機(jī)會(huì)認(rèn)真對(duì)待朋友們找出的所有漏洞,并會(huì)在第一時(shí)間進(jìn)行修補(bǔ),360手機(jī)無(wú)論是現(xiàn)在還是將來(lái),都會(huì)是用戶手機(jī)較安全的手機(jī)。
關(guān)于此次GeekPwn大會(huì)上為什么會(huì)選中出道不久的360奇酷手機(jī)作為挑戰(zhàn)對(duì)象,一位不愿透露姓名的“黑客”指出“對(duì)于奇酷手機(jī)來(lái)說(shuō),有大量的黑客和手機(jī)圈同行,甚至還有一些巨頭公司都希望找出它的漏洞,主要原因是奇酷手機(jī)主打安全,產(chǎn)品知名度與影響力高,作為安全界人士也更愿意挑戰(zhàn)這樣的產(chǎn)品。這樣的破解也并非對(duì)360手機(jī)就是負(fù)面影響,反而是共筑安全的一個(gè)捷徑。”
根據(jù)此次360奇酷聲明和360此前舉辦的“72小時(shí)安全漏洞挑戰(zhàn)賽”來(lái)看,360奇酷顯然非常歡迎這種挑戰(zhàn),因?yàn)閷?duì)他們來(lái)說(shuō),這些黑客和同行事實(shí)上是360奇酷手機(jī)較好的安全測(cè)試員,就好像全球黑客都是微軟的安全測(cè)試員一樣。