隨著全面屏手機的流行,，安卓手機“屏下指紋”解鎖功能的安全性逐漸受到關注,。在10月24日召開的2018GeekPwn極棒上,，騰訊安全玄武實驗室首次公開了針對屏下指紋解鎖型設備的“殘跡重用”漏洞——當機主未擦掉屏幕上留下的指紋時，通過特殊方法利用屏幕上的指紋殘跡欺騙指紋識別系統(tǒng),，也能實現(xiàn)成功解鎖手機。

騰訊安全玄武實驗室在發(fā)現(xiàn)該漏洞后,，第一時間與華為等主流手機硬件廠商及上游芯片廠商商議修復方案,，目前該漏洞已被全面修復。這次安全事件中多方合作的模式及效率,，為移動安全新時代下治理安全問題提供了參考,，進一步推動了產(chǎn)業(yè)鏈各環(huán)節(jié)攜手應對安全問題的常態(tài)化。

（騰訊安全玄武實驗室負責人于旸披露漏洞原理）

“手機硬件+芯片+安全”廠商通力合作 ?無感修復屏下指紋技術漏洞

手機全面屏趨勢下,，屏下指紋技術被越來越多的手機廠商選擇,。原因顯而易見,，相對傳統(tǒng)的按鍵指紋解鎖，屏下指紋解鎖顯然給用戶帶來了全新的體驗,。然而,，指紋解鎖的安全性始終是繞不過的話題。

騰訊安全玄武實驗室負責人于旸（TK教主）在2018 GeekPwn極棒現(xiàn)場透露,，“殘跡重用”漏洞屬于屏下指紋技術設計原理的通用性問題,，而非只存在于特定的手機型號和硬件產(chǎn)品中，因此影響面可能波及市面上使用該技術的所有安卓手機,。

這意味著受該漏洞影響的并不僅僅是手機廠商,，而在修復漏洞的問題上更不是單獨的廠商能夠應對的?；诖?，騰訊安全玄武實驗室在發(fā)現(xiàn)漏洞之后，率先將漏洞和解決方案提交給手機與相關硬件廠商,，隨后進一步溯源至上游芯片廠商,，全面檢視該漏洞的風險面及潛在威脅。最終,，在多方合作下,，實現(xiàn)了“殘跡重用”漏洞的用戶無感修復。

此次安全團隊與廠商合作修復漏洞的背后,，折射出移動安全新時代下產(chǎn)業(yè)鏈上的各個環(huán)節(jié)正在積極攜手共同面對安全問題的趨勢,。此次屏下指紋技術漏洞的修復，正是騰訊安全玄武實驗室與華為等手機廠商共同協(xié)作的積極成果,。

近幾年,，以華為為代表的主流手機廠商，積極構筑產(chǎn)品安全生態(tài),，積極參與BlackHat,、GeekPwn等全球主流安全交流活動，希望聯(lián)合業(yè)界力量,，提早發(fā)現(xiàn)和解決產(chǎn)品安全問題,，不斷提升產(chǎn)品安全能力，目前已經(jīng)與包括騰訊安全玄武實驗室在內的全球主流安全企業(yè),、研究機構和白帽組織建立了良性互動關系,。

（華為漏洞獎勵計劃金牌合作伙伴授牌暨答謝會現(xiàn)場）

與此同時，為進一步加強與安全領域企業(yè)和組織的互動和溝通,，華為于近期推出了“漏洞獎勵計劃”,，向受邀安全研究者提供最高100萬元人民幣的漏洞發(fā)現(xiàn)獎勵和榮譽致謝，希望借助行業(yè)的共同力量，不斷提升產(chǎn)品安全性,，全方位保障產(chǎn)品安全,。騰訊安全玄武實驗室作為該漏洞獎勵計劃的金牌合作伙伴，將與華為應急響應中心一道對提交的漏洞進行共同把關和評估,。

多次披露重大研究成果 ? 騰訊安全推動行業(yè)合作常態(tài)化

通過此次漏洞的合作修復,，多方攜手進一步保障“屏下指紋”這一當下前沿技術安全性的同時，也形成了一條“安全廠商發(fā)現(xiàn)問題——廠商協(xié)作解決問題——共建安全反饋機制”的響應閉環(huán),。這與過往白帽黑客“單打獨斗”,，向廠商匯報漏洞卻得不到重視已是天壤之別。

今年初,，騰訊安全玄武實驗室曾與知道創(chuàng)宇在京召開發(fā)布會,，聯(lián)合披露了安卓“應用克隆”漏洞：只需用戶點擊一個鏈接，攻擊者便可輕松克隆用戶的賬戶權限,，盜取用戶帳號及資金等,，波及幾乎全部的安卓用戶。騰訊安全玄武實驗室第一時間通過CNCERT（國家互聯(lián)網(wǎng)應急中心）向APP廠商通報了該情況,，并給出修復方案,，隨后更啟動“玄武支援計劃”，協(xié)助廠商處理問題,；在此之前,，和“殘跡重用”同類型的技術層面漏洞BadBarcode因揭示了影響整個行業(yè)的存在了近二十年的重大安全隱患，得到國際安全界的廣泛關注和稱譽,，騰訊安全玄武實驗室還因此榮獲WitAwards“年度最佳研究成果”獎,。

在騰訊安全的推動下，行業(yè)攜手應對安全問題的決心和機制正在變得常態(tài)化,。這在當下同樣受關注的智能網(wǎng)聯(lián)汽車領域也得到驗證,，騰訊安全七大實驗室旗下的另一成員——科恩實驗室，近年來多次發(fā)現(xiàn)特斯拉,、寶馬等知名汽車廠商的漏洞,，通過與廠商默契配合實現(xiàn)快速修復。同時,，將車領域的安全能力開放給行業(yè)和合作伙伴,，與蔚來汽車、奧迪等車企共同搭建智能網(wǎng)聯(lián)汽車安全體系,，充分詮釋了安全廠商+汽車廠商的良性互動。今年5月,，騰訊安全科恩實驗室獲得寶馬集團授予的全球首個“寶馬集團數(shù)字化及IT研發(fā)技術獎”,，堪稱智能網(wǎng)聯(lián)汽車安全生態(tài)構建的一大里程碑事件。

數(shù)字經(jīng)濟時代，構建安全安全生態(tài)需要更多責任主體的參與與合作,。于旸對此也表示,，騰訊安全玄武實驗室將持續(xù)加強與業(yè)界和廠商的聯(lián)動，深耕漏洞研究,，輸出自身的安全能力,，與第三方廠商共同筑造安全防線。