新民晚报讯(记者 杨玉红)用一张纸可以秒破手机屏下指纹锁。昨日和今天，2018国际安全极客大赛(GeekPwn 2018)在沪举行，来自世界各地的安全研究员、白帽黑客、安全大牛们，组成黑客界“最强大脑”团队，攻破重重关卡与迷阵。

　　随着手机的越来越智能化，手机承载了太多的功能与信息，也成了各路黑客们的兵家必攻之器。一张纸就能打开安卓手机的屏下指纹锁，你信吗?在比赛现场，腾讯安全玄武实验室在现场首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞：安全研究员通过一张普通的卡片，可以让任何人对手机的屏下指纹进行解锁。

　　原来，目前，主流屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像，通过反射体欺骗的方法，可以利用屏幕上残存的指纹痕迹，让屏下指纹传感器认为手机的主人正在使用指纹验证。当我们录入指纹或者解锁之后，手机屏幕上会留下指纹残迹。此时白色卡片或者白纸的作用就是成为一个能够映衬残迹的背景。当我们隔着白纸按压屏幕时，手机就会收集之前残留的痕迹，提取关键信息，就可以解锁了。这个漏洞被腾讯安全专家称作是“残迹重用”漏洞。

　　据悉，该漏洞属于屏下指纹技术设计层面的问题，会几乎无差别地影响所有使用屏下指纹技术的设备。腾讯安全玄武实验室负责人于旸表示，用户无需太过担心，实验室早在今年初就开始和国内几家主流手机厂商合作，不仅通过更新算法修复了已上市手机中的漏洞，还将相关解决方案提交给相关芯片厂商，推动了供应链层面的安全修复。

　　你以为加密的手机相册，别人就看不到吗?在比赛现场，来自AMC团队杨志伟、胡强，在观众和主持人蒋昌建老师的配合下，成功完成手机私密相册的破解挑战。据悉，他们是利用手机操作系统的漏洞，通过在手机中安装一个恶意APP，root权限执行任意命令，从而实现在手机中静默安装木马。对此选手还解释到，即便相册密码再长、再复杂，都抵不过操作系统存在的漏洞。同时，长亭科技团队利用VMware虚拟机系统漏洞，仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制，这无疑给私有云的运行安全和数据安全敲响了警钟，提醒各云计算企业在防御此类攻击时能具备先机。

　　GeekPwn 2018以“人‘攻’智能，洞见未来”为主题，通过集结最强黑客战队，预演智能设备及人工智能领域潜在的安全问题，探索智能生活的安全之道，助力人们可以更安全地享受智能生活。同时，为了更加全方位洞见未来安全风险，本届大赛分为设置不同挑战场景的命题专项赛，不设限制的非命题开放赛和PWN4FUN趣味挑战赛。大赛发起和创办人王琦表示，自创办以来，极棒带来了许多脑洞大开的破解展示，向厂商提交了数百个，近千个严重安全威胁漏洞。极棒要让更多人关注到智能生活中安全问题的重要性，为人们提供安全的智能生活。