【科讯】腾讯安全推动修复安卓手机设计重大漏洞 产业链合力价值显现

本篇文章1827字，读完约5分钟

随着全面屏手机的流行，安卓手机屏幕下指纹解锁功能的安全性越来越受到关注。 在10月24日举行的geekpwn的精彩之处，腾讯安全玄武实验室首次公开了对比画面下指纹解锁型设备残留再利用的脆弱性。 当主没有清除画面上残留的指纹时，用特殊的方法利用画面上的指纹痕迹欺骗指纹识别系统，手机解锁成功。

腾讯安全玄武实验室在发现这一漏洞后，与防火墙等主要手机硬件制造商和上游芯片制造商协商修复方案，目前这一漏洞已经全面修复。 这次安全问题中多种合作的模式和效率为移动安全新时代安全问题的管理提供了参考，进一步推进了产业链各环节合作应对安全问题的常态化。

(腾讯安全玄武实验室负责人用谵妄揭示脆弱性的原理)

手机硬件+芯片+安全制造商合作修复指纹技术漏洞

在手机的全面画面倾向中，画面下指纹技术被更多的手机制造商选择。 理由很明显，对于以前传达的关键指纹的解锁，画面下的指纹的解锁显然给客户带来了新的体验。 但是，指纹解锁的安全性一直是不可避免的话题。

腾讯安全玄武实验室负责人于昕( tk教主)在geekpwn的精彩现场说，遗迹再利用的脆弱性是画面下指纹技术设计原理的共性问题，不仅仅存在于特定的手机模型和硬件产品中。 这种影响可能会波及市场上采用该技术的所有安卓手机。

这意味着，受这种脆弱性影响的不仅仅是手机制造商，个别制造商并不能应对修复脆弱性的问题。 据此，腾讯安全玄武实验室发现脆弱性后，首先将脆弱性和处理方案提交给手机和相关硬件制造商，然后跟踪上游芯片制造商，全面检查这种脆弱性的风险方面和潜在威胁。 最终，得到了很多合作，实现了缺陷再利用的脆弱性的客户的无感修复。

在这次安全团队和制造商合作修复漏洞的背景下，移动安全新时代产业链的各个环节有积极合作面对安全问题的倾向，这是折射出来的。 这次屏幕指纹技术漏洞的修复是腾讯安全玄武实验室和华为等手机制造商共同合作的积极成果。

近年来，以防火墙为代表的主要手机制造商积极构建产品安全生态，积极参加blackhat、geekpwn等世界主要安全交流活动，联合行业力量，早期发现和处理产品安全问题，确保产品安全

(华为脆弱性奖励计划黄金合作伙伴颁奖仪式现场)

并且，为了进一步加强安全行业公司与组织的相互作用和信息表现，华为最近发表了脆弱性奖励计划，向安全研究者提供了最高100万元人民币的脆弱性发现奖励和荣誉，借助领域的共同力量，提高了产品的安全性，在各方面保障了产品的安全 腾讯安全玄武实验室作为这个脆弱性奖励计划的黄金伙伴，共同检查和判断与防火墙紧急响应中心一起提出的脆弱性。

多次公布重大研究成果推进帐篷安全推进领域合作常态化

通过这次脆弱性的共同修复，很多人携手保障了屏幕指纹这一现在的尖端技术的安全性，另外，安全制造商发现问题的制造商合作处理问题，形成了共同构筑安全反馈机制的响应闭环。 这是与过去的白帽黑客独自战斗，向制造商报告了脆弱性，但没有被重视的是云泥之差。

今年年初，腾讯安全玄武实验室得知创宇在北京召开了发布会，共同公开了安卓应用程序的克隆漏洞:只要顾客点击链接，攻击者就可以轻松克隆顾客的账户权限，窃取顾客的账号和资金等。 腾讯安全玄武实验室第一时间通过cncert (国家网络紧急中心)向app制造商通报此事，提供修复方案，然后启动玄武支持计划，协助制造商解决问题。 迄今为止，与遗迹再利用相同类型的技术水平的脆弱性badbarcode明确了影响整个领域的重大安全隐患，因此受到国际安全界的关注和称赞，腾讯安全玄武实验室获得了witawards年度的最佳研究成果奖。

在腾讯安全的推动下，领域携手处理安全问题的决心和机制趋于常态化。 这在现在同样备受瞩目的智能网络汽车行业也被验证，腾讯安全七大实验室旗下的另一个科恩实验室，近年来多次发现特斯拉和宝马等知名汽车制造商的脆弱性，通过与制造商的默契合作迅速修复 然后，向领域和合作伙伴开放汽车行业的安全能力，与汽车、奥迪等车企共同构建智能网络的汽车安全系统，充分解释了安全制造商+汽车制造商的良性互动。 今年5月，腾讯安全科恩实验室获得宝马集团颁发的世界第一个宝马集团数字化和it研发技术奖，成为智能网络汽车安全生态构建的一大里程碑。

在数字经济时代，为了构建安全的生态，越来越多的责任主体需要参与和合作。 就此，腾讯安全玄武实验室表示将加强与业界和制造商的合作，深化脆弱性研究，输出自身的安全能力，与第三方制造商合作构筑安全防线。