北京2015年10月27日電 /美通社/ -- 上個周末����,一場看似嚴(yán)肅的挑戰(zhàn)賽,卻被演繹成了一場鬧劇�。10月24日���,該劇在被喻為“黑客奧運(yùn)會”的GeekPwn大會上熱鬧上演,而出道不久�,目前風(fēng)頭正盛的360奇酷手機(jī)被牽扯其中。同時被GeekPwn陸續(xù)攻破的還有蘋果的iOS 9.1���、大疆無人機(jī)�、小米4C��、華為榮耀4A等智能產(chǎn)品�。
騰訊黑客大賽挑戰(zhàn)蘋果和奇酷���,意圖共造較安全手機(jī)?
在此次由騰訊贊助舉辦的黑客挑戰(zhàn)賽中����,部分環(huán)節(jié)以360奇酷手機(jī)中提供的“指紋識別”功能為破解對象�,“破解”方法是把一臺奇酷手機(jī)連接電腦���,在手機(jī)上打開默認(rèn)關(guān)閉的“信任設(shè)備”功能���,然后輸入正確的密碼或指紋解鎖手機(jī),才能繞過手機(jī)的指紋驗(yàn)證�。從這個演示來說,奇酷用戶必須把手機(jī)插在黑客電腦上��,并且告訴對方解鎖密碼�,然后還要修改手機(jī)的默認(rèn)設(shè)置,才能繞過手機(jī)的指紋識別��。由于這一做法并不嚴(yán)謹(jǐn)��,就像主人事先將鑰匙交給小偷��,然后讓小偷進(jìn)屋后把鎖拆了��,再說鎖不安全一樣充滿詭異�����。
同時鑒于騰訊和360以前早有恩怨����,再過一周,是2010年3Q大戰(zhàn)5周年����,因此許多網(wǎng)友認(rèn)為,這應(yīng)該是騰訊“雞蛋里挑骨頭”���,意在打壓360手機(jī)���。不過,看來360奇酷并不這么認(rèn)為�。
在360奇酷手機(jī)官微發(fā)布的《奇酷科技針對 “騰訊黑客大賽尋找360奇酷手機(jī)漏洞”聲明》中,大家驚奇地發(fā)現(xiàn)�����,一改3Q大戰(zhàn)時期360的針鋒相對����、拔劍相向的硬性作派,有著濃烈360基因的360奇酷卻并沒有對此次挑戰(zhàn)現(xiàn)表現(xiàn)出任何仇視的成份���。相反����,對于騰訊能贊助此類活動,給予了充分肯定��。在聲明中360奇酷表示:“支持騰訊這樣的互聯(lián)網(wǎng)巨頭重視����、資助類似破解活動,即‘提供一個環(huán)境��,讓安全研究人員幫助識別潛在的安全漏洞’��,這有助于推進(jìn)360奇酷手機(jī)在安全方面的發(fā)展����。”而對于現(xiàn)場演示的360奇酷手機(jī)的Root等漏洞�,由于主辦方暫未提供具體的漏洞細(xì)節(jié),360奇酷認(rèn)為:“還無法驗(yàn)證其有效性�,奇酷手機(jī)將就此與相關(guān)人員積極溝通���?��!蓖瑫r對發(fā)現(xiàn)并提交漏洞的研究人員表示了感謝��,因?yàn)檫@讓360手機(jī)“距較安全的手機(jī)更進(jìn)一步�?!?/p>
此聲明由于態(tài)度冷靜、客觀����,并在第一時間對所找出的漏洞做出了積極回應(yīng),被業(yè)內(nèi)稱為是最具業(yè)內(nèi)良心的聲明�����,有網(wǎng)友調(diào)侃稱“大疆�����、小米����、華為等此次被攻破的其他企業(yè),聲明都不需要寫了�,就拿360奇酷這份改改就好?!?/p>
實(shí)際上,除360奇酷手機(jī)外,此次被選中進(jìn)行安全挑戰(zhàn)并被最終破解的國內(nèi)手機(jī)還包括華為榮耀4A����、小米4C。選手通過在兩款手機(jī)上安裝一個普通權(quán)限的app���,利用本地提權(quán)漏洞獲取了系統(tǒng)的root權(quán)限�����,替換了手機(jī)的開機(jī)畫面�。值得注意的是���,開機(jī)畫面處于安卓系統(tǒng)的system只讀分區(qū)中��,只有取得了較高權(quán)限后才有可能替換����。
在所有被挑戰(zhàn)的手機(jī)中����,360手機(jī)被破解的難度較大,而且是基于事先知道密碼的情況下�,同時由于此次被挑戰(zhàn)的并非只有360手機(jī)一款機(jī)型,GeekPwn團(tuán)隊(duì)是在騰訊的授意下特別針對360手機(jī)的說法并不確切����。
為了驗(yàn)證手機(jī)的安全性,給用戶一個放心的用機(jī)環(huán)境����,實(shí)際上,360手機(jī)此前于10月22日發(fā)起了“72小時安全漏洞挑戰(zhàn)賽”��, 鼓勵黑客人員積極參與挑戰(zhàn)賽����,同時對發(fā)現(xiàn)并提交有價值漏洞的個人或組織予以重獎。至今為止���,360已幫助微軟�、谷歌����、蘋果等國際巨頭修復(fù)了上百個高危漏洞,從2013年開始����,360開始在國內(nèi)率先為漏洞報告者提供現(xiàn)金獎勵���,目前已發(fā)出數(shù)百萬元獎金,有力地保證了360用戶的安全���。
對于此次挑戰(zhàn)結(jié)果����,360董事長周鴻祎表示:這個世界沒有絕對安全的手機(jī)����,但一定有較安全的手機(jī)。包括特斯拉���、蘋果等知名硬件企業(yè)也曾遭到諸多黑客的破解�。他同時表示�,360手機(jī)會認(rèn)真對待朋友們找出的所有漏洞,并會在第一時間進(jìn)行修補(bǔ)����,360手機(jī)無論是現(xiàn)在還是將來,都會是用戶手機(jī)較安全的手機(jī)��。
關(guān)于此次GeekPwn大會上為什么會選中出道不久的360奇酷手機(jī)作為挑戰(zhàn)對象���,一位不愿透露姓名的“黑客”指出“對于奇酷手機(jī)來說��,有大量的黑客和手機(jī)圈同行�,甚至還有一些巨頭公司都希望找出它的漏洞��,主要原因是奇酷手機(jī)主打安全�,產(chǎn)品知名度與影響力高,作為安全界人士也更愿意挑戰(zhàn)這樣的產(chǎn)品����。這樣的破解也并非對360手機(jī)就是負(fù)面影響,反而是共筑安全的一個捷徑�。”
根據(jù)此次360奇酷聲明和360此前舉辦的“72小時安全漏洞挑戰(zhàn)賽”來看��,360奇酷顯然非常歡迎這種挑戰(zhàn)����,因?yàn)閷λ麄儊碚f,這些黑客和同行事實(shí)上是360奇酷手機(jī)較好的安全測試員�����,就好像全球黑客都是微軟的安全測試員一樣�。
圖片 - http://photos.prnasia.com/prnh/20151027/0861510259
