北京2015年10月27日电 /美通社/ -- 上个周末,一场看似严肃的挑战赛,却被演绎成了一场闹剧。10月24日,该剧在被喻为“黑客奥运会”的GeekPwn大会上热闹上演,而出道不久,目前风头正盛的360奇酷手机被牵扯其中。同时被GeekPwn陆续攻破的还有苹果的iOS 9.1、大疆无人机、小米4C、华为荣耀4A等智能产品。
在此次由腾讯赞助举办的黑客挑战赛中,部分环节以360奇酷手机中提供的“指纹识别”功能为破解对象,“破解”方法是把一台奇酷手机连接电脑,在手机上打开默认关闭的“信任设备”功能,然后输入正确的密码或指纹解锁手机,才能绕过手机的指纹验证。从这个演示来说,奇酷用户必须把手机插在黑客电脑上,并且告诉对方解锁密码,然后还要修改手机的默认设置,才能绕过手机的指纹识别。由于这一做法并不严谨,就像主人事先将钥匙交给小偷,然后让小偷进屋后把锁拆了,再说锁不安全一样充满诡异。
同时鉴于腾讯和360以前早有恩怨,再过一周,是2010年3Q大战5周年,因此许多网友认为,这应该是腾讯“鸡蛋里挑骨头”,意在打压360手机。不过,看来360奇酷并不这么认为。
在360奇酷手机官微发布的《奇酷科技针对 “腾讯黑客大赛寻找360奇酷手机漏洞”声明》中,大家惊奇地发现,一改3Q大战时期360的针锋相对、拔剑相向的硬性作派,有着浓烈360基因的360奇酷却并没有对此次挑战现表现出任何仇视的成份。相反,对于腾讯能赞助此类活动,给予了充分肯定。在声明中360奇酷表示:“支持腾讯这样的互联网巨头重视、资助类似破解活动,即‘提供一个环境,让安全研究人员帮助识别潜在的安全漏洞’,这有助于推进360奇酷手机在安全方面的发展。”而对于现场演示的360奇酷手机的Root等漏洞,由于主办方暂未提供具体的漏洞细节,360奇酷认为:“还无法验证其有效性,奇酷手机将就此与相关人员积极沟通。”同时对发现并提交漏洞的研究人员表示了感谢,因为这让360手机“距较安全的手机更进一步。”
此声明由于态度冷静、客观,并在第一时间对所找出的漏洞做出了积极回应,被业内称为是最具业内良心的声明,有网友调侃称“大疆、小米、华为等此次被攻破的其他企业,声明都不需要写了,就拿360奇酷这份改改就好。”
实际上,除360奇酷手机外,此次被选中进行安全挑战并被最终破解的国内手机还包括华为荣耀4A、小米4C。选手通过在两款手机上安装一个普通权限的app,利用本地提权漏洞获取了系统的root权限,替换了手机的开机画面。值得注意的是,开机画面处于安卓系统的system只读分区中,只有取得了较高权限后才有可能替换。
在所有被挑战的手机中,360手机被破解的难度较大,而且是基于事先知道密码的情况下,同时由于此次被挑战的并非只有360手机一款机型,GeekPwn团队是在腾讯的授意下特别针对360手机的说法并不确切。
为了验证手机的安全性,给用户一个放心的用机环境,实际上,360手机此前于10月22日发起了“72小时安全漏洞挑战赛”, 鼓励黑客人员积极参与挑战赛,同时对发现并提交有价值漏洞的个人或组织予以重奖。至今为止,360已帮助微软、谷歌、苹果等国际巨头修复了上百个高危漏洞,从2013年开始,360开始在国内率先为漏洞报告者提供现金奖励,目前已发出数百万元奖金,有力地保证了360用户的安全。
对于此次挑战结果,360董事长周鸿祎表示:这个世界没有绝对安全的手机,但一定有较安全的手机。包括特斯拉、苹果等知名硬件企业也曾遭到诸多黑客的破解。他同时表示,360手机会认真对待朋友们找出的所有漏洞,并会在第一时间进行修补,360手机无论是现在还是将来,都会是用户手机较安全的手机。
关于此次GeekPwn大会上为什么会选中出道不久的360奇酷手机作为挑战对象,一位不愿透露姓名的“黑客”指出“对于奇酷手机来说,有大量的黑客和手机圈同行,甚至还有一些巨头公司都希望找出它的漏洞,主要原因是奇酷手机主打安全,产品知名度与影响力高,作为安全界人士也更愿意挑战这样的产品。这样的破解也并非对360手机就是负面影响,反而是共筑安全的一个捷径。”
根据此次360奇酷声明和360此前举办的“72小时安全漏洞挑战赛”来看,360奇酷显然非常欢迎这种挑战,因为对他们来说,这些黑客和同行事实上是360奇酷手机较好的安全测试员,就好像全球黑客都是微软的安全测试员一样。