随着全面屏手机的流行，安卓手机“屏下指纹”解锁功能的安全性逐渐受到关注。在10月24日召开的2018GeekPwn极棒上，腾讯安全玄武实验室首次公开了针对屏下指纹解锁型设备的“残迹重用”漏洞——当机主未擦掉屏幕上留下的指纹时，通过特殊方法利用屏幕上的指纹残迹欺骗指纹识别系统，也能实现成功解锁手机。

腾讯安全玄武实验室在发现该漏洞后，第一时间与华为等主流手机硬件厂商及上游芯片厂商商议修复方案，目前该漏洞已被全面修复。这次安全事件中多方合作的模式及效率，为移动安全新时代下治理安全问题提供了参考，进一步推动了产业链各环节携手应对安全问题的常态化。

（腾讯安全玄武实验室负责人于旸披露漏洞原理）

“手机硬件+芯片+安全”厂商通力合作 无感修复屏下指纹技术漏洞

手机全面屏趋势下，屏下指纹技术被越来越多的手机厂商选择。原因显而易见，相对传统的按键指纹解锁，屏下指纹解锁显然给用户带来了全新的体验。然而，指纹解锁的安全性始终是绕不过的话题。

腾讯安全玄武实验室负责人于旸（TK教主）在2018 GeekPwn极棒现场透露，“残迹重用”漏洞属于屏下指纹技术设计原理的通用性问题，而非只存在于特定的手机型号和硬件产品中，因此影响面可能波及市面上使用该技术的所有安卓手机。

这意味着受该漏洞影响的并不仅仅是手机厂商，而在修复漏洞的问题上更不是单独的厂商能够应对的。基于此，腾讯安全玄武实验室在发现漏洞之后，率先将漏洞和解决方案提交给手机与相关硬件厂商，随后进一步溯源至上游芯片厂商，全面检视该漏洞的风险面及潜在威胁。最终，在多方合作下，实现了“残迹重用”漏洞的用户无感修复。

此次安全团队与厂商合作修复漏洞的背后，折射出移动安全新时代下产业链上的各个环节正在积极携手共同面对安全问题的趋势。此次屏下指纹技术漏洞的修复，正是腾讯安全玄武实验室与华为等手机厂商共同协作的积极成果。

近几年，以华为为代表的主流手机厂商，积极构筑产品安全生态，积极参与BlackHat、GeekPwn等全球主流安全交流活动，希望联合业界力量，提早发现和解决产品安全问题，不断提升产品安全能力，目前已经与包括腾讯安全玄武实验室在内的全球主流安全企业、研究机构和白帽组织建立了良性互动关系。

（华为漏洞奖励计划金牌合作伙伴授牌暨答谢会现场）

与此同时，为进一步加强与安全领域企业和组织的互动和沟通，华为于近期推出了“漏洞奖励计划”，向受邀安全研究者提供最高100万元人民币的漏洞发现奖励和荣誉致谢，希望借助行业的共同力量，不断提升产品安全性，全方位保障产品安全。腾讯安全玄武实验室作为该漏洞奖励计划的金牌合作伙伴，将与华为应急响应中心一道对提交的漏洞进行共同把关和评估。

多次披露重大研究成果 腾讯安全推动行业合作常态化

通过此次漏洞的合作修复，多方携手进一步保障“屏下指纹”这一当下前沿技术安全性的同时，也形成了一条“安全厂商发现问题——厂商协作解决问题——共建安全反馈机制”的响应闭环。这与过往白帽黑客“单打独斗”，向厂商汇报漏洞却得不到重视已是天壤之别。