您的位置: 葫芦岛信息港 > 健康

腾讯安全推动修复安卓手机设计重大漏洞产业

发布时间:2019-05-14 23:29:30

随着全面屏的流行,安卓屏下指纹解锁功能的安全性逐渐遭到关注。在10月24日召开的2018GeekPwn极棒上,腾讯安全玄武实验室首次公开了针对屏下指纹解锁型设备的残迹重用漏洞当机主未擦掉屏幕上留下的指纹时,通过特殊方法利用屏幕上的指纹残迹欺骗指纹识别系统,也能实现成功解锁。

腾讯安全玄武实验室在发现该漏洞后,时间与华为等主流硬件厂商及上游芯片厂商商讨修复方案,目前该漏洞已被全面修复。这次安全事件中多方合作的模式及效力,为移动安全新时代下治理安全问题提供了参考,进一步推动了产业链各环节携手应对安全问题的常态化。

(腾讯安全玄武实验室负责人于旸表露漏洞原理)

硬件+芯片+安全厂商通力合作 无感修复屏下指纹技术漏洞

全面屏趋势下,屏下指纹技术被愈来愈多的厂商选择。原因不言而喻,相对传统的按键指纹解锁,屏下指纹解锁显然给用户带来了全新的体验。然而,指纹解锁的安全性始终是绕不过的话题。

腾讯安全玄武实验室负责人于旸(TK教主)在2018 GeekPwn极棒现场透露,残迹重用漏洞属于屏下指纹技术设计原理的通用性问题,而非只存在于特定的型号和硬件产品中,因此影响面可能波及市面上使用该技术的所有安卓。

这意味着受该漏洞影响的其实不仅仅是厂商,而在修复漏洞的问题上更不是单独的厂商能够应对的。基于此,腾讯安全玄武实验室在发现漏洞之后,率先将漏洞和解决方案提交给与相关硬件厂商,随后进一步溯源至上游芯片厂商,全面检视该漏洞的风险面及潜伏威胁。终究,在多方合作下,实现了残迹重用漏洞的用户无感修复。

此次安全团队与厂商合作修复漏洞的背后,折射出移动安全新时代下产业链上的各个环节正在积极携手共同面对安全问题的趋势。此次屏下指纹技术漏洞的修复,正是腾讯安全玄武实验室与华为等厂商共同协作的积极成果。

近几年,以华为为代表的主流厂商,积极构筑产品安全生态,积极参与BlackHat、GeekPwn等全球主流安全交换活动,希望联合业界力量,提早发现和解决产品安全问题,不断提升产品安全能力,目前已与包括腾讯安全玄武实验室在内的全球主流安全企业、研究机构和白帽组织建立了良性互动关系。

(华为漏洞嘉奖计划金牌合作伙伴授牌暨答谢会现场)

与此同时,为进一步加强与安全领域企业和组织的互动和沟通,华为于近期推出了漏洞嘉奖计划,向受邀安全研究者提供100万元人民币的漏洞发现嘉奖和荣誉致谢,希望借助行业的共同力量,不断提升产品安全性,全方位保障产品安全。腾讯安全玄武实验室作为该漏洞嘉奖计划的金牌合作伙伴,将与华为应急响应中心一道对提交的漏洞进行共同把关和评估。

屡次披露重大研究成果 腾讯安全推动行业合作常态化

通过此次漏洞的合作修复,多方携手进一步保障屏下指纹这1当下前沿技术安全性的同时,也形成了一条安全厂商发现问题厂商协作解决问题共建安全反馈机制的响应闭环。这与过往白帽黑客单打独斗,向厂商汇报漏洞却得不到重视已是天壤之别。

今年初,腾讯安全玄武实验室曾与知道创宇在京召开发布会,联合表露了安卓运用克隆漏洞:只需用户点击一个链接,攻击者便可轻松克隆用户的账户权限,盗取用户帐号及资金等,波及几近全部的安卓用户。腾讯安全玄武实验室时间通过CNCERT(国家互联应急中心)向APP厂商通报了该情况,并给出修复方案,随后更启动玄武支援计划,协助厂商处理问题;在此之前,和残迹重用同类型的技术层面漏洞BadBarcode因揭示了影响全部行业的存在了近二十年的重大安全隐患,得到国际安全界的广泛关注和称赞,腾讯安全玄武实验室还因此荣获WitAwards年度研究成果奖。

在腾讯安全的推动下,行业携手应对安全问题的决心和机制正在变得常态化。这在当下同样受关注的智能联汽车领域也得到验证,腾讯安全七大实验室旗下的另外一成员科恩实验室,近年来屡次发现特斯拉、宝马等知名汽车厂商的漏洞,通过与厂商默契配合实现快速修复。同时,将车领域的安全能力开放给行业和合作伙伴,与蔚来汽车、奥迪等车企共同搭建智能联汽车安全体系,充分诠释了安全厂商+汽车厂商的良性互动。今年5月,腾讯安全科恩实验室获得宝马集团授与的全球宝马集团数字化及IT研发技术奖,可谓智能联汽车安全生态构建的1大里程碑事件。

数字经济时代,构建安全安全生态需要更多主体的参与与合作。于旸对此也表示,腾讯安全玄武实验室将持续加强与业界和厂商的联动,深耕漏洞研究,输出自身的安全能力,与第三方厂商共同筑造安全防线。

妇科千金片说明书
妇科千金片效果怎么样
子宫内膜炎如何有效治疗
猜你会喜欢的
猜你会喜欢的