2024 T-EDGE文章详情页顶部

奇酷手机被黑客攻破,360回应“没有绝对安全的手机”

GeekPwn大赛上,黑客找出刚刚发布的奇酷手机的漏洞并成功破解。为此,360方面昨晚发表声明称,这个世界没有绝对安全的手机,但一定有最安全的手机。

【钛媒体综合】被喻为“黑客奥运会”的GeekPwn大会昨日在上海开幕,昨日大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机被成功Pwned(意被攻破)。当网友纷纷关心奇酷手机是否也被破译时,前方传来消息:参赛黑客“不负众望”,已找出刚刚发布的奇酷手机的漏洞并破解。

为此,360方面昨晚发表声明称,这个世界没有绝对安全的手机,但一定有最安全的手机。并同时指出,大赛中黑客flanker使用破解的方法存在特定前提,由于主办方暂未提供具体的漏洞细节,目前还无法验证其有效性。

针对所破解的“指纹识别功能”,360在声明中写到:

360奇酷手机“指纹识别功能”成为挑战对象,“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别,并且用户的指纹信息并不会泄漏。打个形象的比喻,这种“破解”就像是主人需要先把家里钥匙交给小偷,小偷进屋后把锁拆了,然后再说锁不安全。

对于现场演示的360奇酷手机的Root等漏洞,由于主办方暂未提供具体的漏洞细节,目前我们还无法验证其有效性,奇酷手机将就此与相关人员积极沟通。

值得注意的是,日前,360奇酷手机官方宣布,未来将每个月更新一次这款手机的安全补丁,以确保给手机用户持续提供安全可靠的服务。360官方称其安全性甚至超过苹果。

此次,为黑客提供舞台的“GeekPwn”社区中文名为“极棒”,是一个智能生活安全社区。Geek,极客,狂热喜爱技术的一群人。Pwn,安全领域专有名词,通常意指突破安全限制。今年的极棒嘉年华于10月24日至25日在中国上海举行,在2014基础上增加了“互联网+、移动支付、SSL/TLS专场”等项目。

其中,“智能设备上指纹泄漏攻击”一项中单项最高奖金为50万,参考场景及评判标准为“设备是否对指纹系统进行保护,比如是否使用trustzone;获得指纹的前置条件,比如是否需要root;逆向指纹设备协议或图像解码的复杂程度。”

附一:奇酷科技针对 “腾讯黑客大赛寻找360奇酷手机漏洞” 的声明:

10月24日,由腾讯赞助举办的黑客破解挑战赛上,部分环节以360奇酷手机作为破解对象,我们支持腾讯这样的互联网巨头重视、资助类似破解活动,即“提供一个环境,让安全研究人员帮助识别潜在的安全漏洞”,这有助于推进360奇酷手机在安全方面的发展。

这个世界没有绝对安全的手机,但一定有最安全的手机。包括特斯拉、苹果等知名硬件企业也曾遭到诸多黑客的破解,针对破解大赛具体细节,360奇酷手机声明如下:

1、活动中,360奇酷手机“指纹识别功能”成为挑战对象,“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别,并且用户的指纹信息并不会泄漏。打个形象的比喻,这种“破解”就像是主人需要先把家里钥匙交给小偷,小偷进屋后把锁拆了,然后再说锁不安全。对于现场演示的360奇酷手机的Root等漏洞,由于主办方暂未提供具体的漏洞细节,目前我们还无法验证其有效性,奇酷手机将就此与相关人员积极沟通。

2、360奇酷手机承诺每月更新一次安全补丁,是中国唯一一部与Google同步更新安全补丁的手机。我们非常重视手机和用户的安全,希望与更多安全研究人员共同合作,以负责任的态度验证、重现、应对和修复报告中的漏洞。感谢所有能帮助我们发现并提交漏洞的研究人员,让我们距“最安全的手机”更进一步。

3、360奇酷手机于10月22日发起的“72小时安全漏洞挑战赛”目前正在进行中,对发现并提交有价值漏洞的个人或组织予以重奖,我们鼓励黑客人员积极参与挑战赛,同样有机会获得大奖。任何产品都存在漏洞,重要的是及时发现和修复,360帮助微软、谷歌、苹果等国际巨头修复了上百个高危漏洞,从2013年开始,360在国内率先为漏洞报告者提供现金奖励,目前已发出数百万元奖金,有力保障了360用户的安全。

4、360奇酷手机为每一位用户准备了全年最高赔付12万的奇酷财产险。即使用户遭遇安全风险,也能最大程度挽回损失。我们将继续支持并奖励安全研究人员发现、提交并修复漏洞的举措。这世界没有天衣无缝的产品,但是有对用户安全负责任的企业。

附二:其他被攻破的智能设备

大疆无人机:选手需要在不接触无人机遥控器的情况下,获取无人机的控制权。

华为荣耀4A、小米4C:选手通过在两款手机上安装一个普通权限的app,利用本地提权漏洞获取系统的root权限,并替换了手机的开机画面。

拉卡拉收款宝POS机:选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡(如招商银行卡)完成一次查询余额的动作,之后会将交易信息劫持下来,然后用另一张卡(如公积金卡)去刷卡转帐,输入任意密码就可以转走前面招行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

智能摄像头:选手接入摄像头所在的网络,远程向摄像头发起攻击,远程获得摄像头ROOT权限,并进一步窃取视频、控制摄像头运动、播放篡改音频。(选手同时攻破了多款智能摄像头,包括:小蚁智能摄像头、中兴小兴看看智能摄像头、联想看家宝、乔安770MR-W 无线网络监控摄像头、沃仕达T7866WIP 网络摄像机、凯聪 1303 720P百万高清网络摄像机。)

转载请注明出处、作者和本文链接
声明:文章内容仅供参考、交流、学习、不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
  • 你跟他讲道理,他和你耍流氓;你和他耍流氓。他和你讲法律;你和他讲法律,他和你玩文案;你和他玩文案,他告诉你这是通病

    回复 2015.10.26 · via pc
  • 360最擅长的就是辩解。其实除了杀毒,并没有什么手机上的核心技术,还打着“安全”的旗帜,最后还说什么世界上没有绝对安全的手机。你既然知道自己不安全,干嘛拿“安全”当卖点呢,人家买你也许就是因为安全,你却推卸说苹果都不安全,人家说自己是安全手机安全公司了吗?

    回复 2015.10.25 · via iphone
  • 当出现问题的时候,第一时间不是不是辩解,是承担责任,然后把它做的更好。辩解在人们眼里意味推脱责任。并且还是你的强项,就算它是免费的。

    回复 2015.10.26 · via android
  • 意动力社区是最好的网络营销、网络推广交流社区,免费学习全网营销知识。 bbs.ecomgear.cn

    回复 2015.10.27 · via pc
  • 大牛屌到没朋友!!!黑客巅峰战 中国黑马17秒攻破IE浏览器_网络安全新闻资讯-中关村在线

    回复 2015.10.27 · via pc
  • 太打脸了

    回复 2015.10.27 · via pc
  • 不联网就安全了,哈哈

    回复 2015.10.26 · via android
  • 这种活动要多点

    回复 2015.10.26 · via android
  • 感觉他们好牛

    回复 2015.10.25 · via android

AWARDS-文章详情右上

快报

更多

12:43

特朗普妄言将对进口自中国商品加征10%关税,我驻美使馆最新回应

12:41

日本宫城县附近海域发生5.3级地震

12:39

杰富瑞将Zoom目标价从70美元上调至85美元

12:38

《好东西》导演回应“抄袭风波”

12:36

伊藤忠商事据悉有意参与柒和伊控股收购计划

12:35

百度健康原总裁何明科、医疗业务原总经理张延东离职

12:29

高盛:特朗普批准液化天然气项目只能从2027年开始增加供应

12:24

首只以新加坡元交易的新兴亚洲ETF问世

12:21

著名人口学家、北大人口研究所创始所长张纯元逝世,享年92岁

12:09

人民空军运-20赴韩接志愿军烈士回家

12:08

日本新型固体燃料火箭试验再次发生异常

12:05

广东:建立低空经济军地民协同管理机制,创建国家低空经济产业综合示范区

12:03

港股午评:恒生指数涨0.49%,恒生科技指数涨0.43%

11:52

广东:支持深圳证券交易所建设世界一流交易所、广州期货交易所丰富交易品种

11:50

香港财经事务及库务局许正宇:沪深股通已成为国际投资者投资内地证券市场最主要的途径

11:48

广东:深入推进深圳综合改革试点深化改革创新扩大开放

11:46

广东:支持珠三角九市与港澳联合共建科创制造、人工智能等合作平台

11:45

广东:在港口、航运等领域推进战略性重组和专业化整合

11:43

外国投资者11月25日净卖出668亿卢比的印度股票衍生品

11:36

河南一极氪X运输途中起火?极氪高管:运输货车刹车高温引发轮胎起火

11

扫描下载App