Osheep

时光不回头,当下最重要。

WiFi曝重大安全漏洞能偷照片密码, 安卓手机是重灾区?

《WiFi曝重大安全漏洞能偷照片密码, 安卓手机是重灾区?》

随着移动设备的普及,WIFI越来越成为人们生活中的必备品。

WAP2可称为目前最安全的WIFI安全加密协议。它可以阻挡未知终端接入人们的路由器,防止非法用户窃听或侵入无线网络。但比利时鲁汶大学的研究者Mathy Vanhoef发现,这一保护机制存在漏洞。Android、Apple、Linux、Windows、OpenBSD、MediaTek、Linksys等系统都会受到影响。

据通用漏洞披露(CVE)所述,该概念验证攻击被称作“KRACK”(Key Reinstallation Attacks),可译为“密钥重装攻击”。攻击者可以使用这种攻击技术来窃取敏感信息,如信用卡号,密码,聊天信息,电子邮件,照片等。

《WiFi曝重大安全漏洞能偷照片密码, 安卓手机是重灾区?》

针对这一情况,10月18日,中共北京市委网信办、市公安局、市经信委等单位联合发布漏洞信息预警通报:当前该漏洞风险处于可控范围,用户无需过分恐慌,也不用修改WIFI密码,及时对终端、路由器等设备的固件进行更新就可有效防御。同时提醒,公共WIFI下不要登录有关支付、财产等账号、密码;如需登录、支付,将手机切换至数据流量网络。

据通用漏洞披露(CVE)所述,该概念验证攻击被称作“KRACK”(Key Reinstallation Attacks),可译为“密钥重装攻击”。攻击者可以使用这种攻击技术来窃取敏感信息,如信用卡号,密码,聊天信息,电子邮件,照片等。

但这一消息已经在网络引发热议,众多网友纷纷表达出对信息安全的焦虑,甚至有人直言:“一夜之间全世界的WIFI都不安全了。”

Mathy Vanhoef称,他不清楚目前有没有同行已经在利用该漏洞实施攻击。更改Wi-Fi 密码并不能避免此类攻击,用户应该更新所有客户端设备以及路由器的固件。

他认为,目前WAP2依然是最安全的无线安全机制,本次漏洞可以通过“补丁”的方式修补。广大普通WIFI 用户无需过度恐慌,但需要时刻关注路由器制造商发布的安全更新,以免自己被黑客攻击。

黑客攻击方式并不是蹭WFI

WPA,全称是“Wi-Fi Protected Access(Wi-Fi保护访问)”,是一种保护无线电脑网络(Wi-Fi)安全的系统。有WPA和WPA2两个标准。

它的最初版本是WEP(有线等效加密),但WEP不是强制使用的,使得许多设施根本就没有启动 WEP,同时密码能被轻易破解。

这些弱点使得WEP在2003年被WAP淘汰,又在2004年由 IEEE 802.11i 标准(又称为WPA2)取代。WPA2加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥;WPA2中还增加了防止数据中途被篡改的功能和认证功能。

至今,WPA2加密协议已经服役了13年,可以称为最强WIFI保护协议。但这项报告却使其陷入安全漩涡中。

《WiFi曝重大安全漏洞能偷照片密码, 安卓手机是重灾区?》

从其中可知,攻击者不是通过“蹭WIFI”的方式来盗取信息。

Mathy Vanhoef称,攻击者首先在受害者和真正的WIFI网络(称为基于渠道的MitM职位)之间首先获得了一个中间人(MitM)。 但是,MitM的位置并不能使攻击者解密数据包。这个位置只允许攻击者可靠地延迟,阻止或重放加密的数据包。所以就攻击而言,黑客还不能解密所有的数据。

所以,一定要看这一点——因为这次的攻击行为不是远程发起的,需要黑客在目标无线网络范围内才能进行。还有一个理由:这个攻击还没公布攻击代码,按照以前的攻击规律,要过很长时间这个漏洞才会被用于现实攻击。

不能远程发起攻击,普通用户无需恐慌

360无线电安全研究部总监杨卿在微博就此事发表观点,他认为该漏洞不能用于破解使用WPA2无线网络的密码,只是会影响在使用WPA2认证的无线网络之下的无线客户端(如手机、智能设备)。且该漏洞仍属于高级攻击利用,一般人员短时间不具备使用其发动攻击的能力。

杨卿还指出,该漏洞属于范围性影响,需处在合法wifi附近的百米左右的信号范围,并不能远程发起。同时,该漏洞Poc利用代码及未公布。这意味着,目前用户不用过度恐慌。但是修复漏洞对于各大手机厂商已经迫在眉睫。

在漏洞爆出后,微软发言人表示,包括Windows10、Windows10 Mobile在内的Windows支持用户已经在10月10日的周日补丁更新日获得了修复性更新,开启自动更新效果更佳。

据 iMore报道,苹果已经在最新的测试版系统当中修复了这个严重的漏洞,该漏洞将在最新的iOS11.1 Beta3系统、watchOS 4.1和tvOS 11.1开发者测试版当中被修复。

Linksys/Belkin和 Wemo 已经知道 WAP 漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。

超过40%的安卓设备被报告受到了本次 Wi-Fi 漏洞的影响,但谷歌将在下个月为 Pixel 推送安全更新。据雷锋网报道,一位专注安卓和iOS 研究的安全研究员称,安卓6.0及其以上的系统都受影响,补丁要到11月6日google才放出,所以在这段时间内,对使用安卓手机的用户来说是灾难。

想了解学习更多互联网的资讯

请继续关注盛夏创业者

《WiFi曝重大安全漏洞能偷照片密码, 安卓手机是重灾区?》

点赞