• 18
网络安全专家称:大部分Wi-Fi网络安全协议存在巨大漏洞,易受黑客攻击
统计 阅读时间大约4分钟(1442字)

2017-10-18 网络安全专家称:大部分Wi-Fi网络安全协议存在巨大漏洞,易受黑客攻击

“小公司和家庭用户应当警惕起来,但不用过分担心。”

【猎云网(微信号:ilieyun)】10月18日报道 (编译:冰摇柠檬茶)

日前,研究人员发现,用于保护大部分wifi连接的安全协议存在巨大漏洞,用户或因此遭受恶意偷听和攻击。

这位研究人员是来自比利时鲁汶大学的安全专家,名叫Mathy Vanhoef。Vanhoef发现无线安全协议WPA2种的漏洞,并在本周一发布了相关细节。

“恶意分子利用这一新型攻击技术,可以读取到原本安全加密的信息。”Vanhoef在报告中说,“如果漏洞被不法分子发现,人们的信用卡卡号、密码、聊天记录、邮件、照片等敏感信息都有可能泄漏。”

Vanhoef强调说,“这种攻击可以侵入所有如今加密的wifi网络。根据网络配置的不同,网络中的数据也可能被修改、踩空。比方说,不法分子可以将勒索软件或其他恶意软件安装到网站中。”

报告表示,这一漏洞影响多款操作系统和设备,包括安卓、Linux、苹果、Windows、OpenBSD、MediaTek、Linksys等。

“只要你的设备支持wifi,就很可能受到影响。”Vanhoef说,“一般来说,用户传输的任何数据或信息都可以破译,另外,根据使用设备和网络配置的不同,用户所收到的数据(比方说网站内容)也可能被破译。”

Vanhoef将这一漏洞叫做Krack,意即Key Reinstallation AttaCK(密钥重安装攻击)。

英国国家网络安全中心在声明中表示,中心正在检查这一漏洞。“今天有研究显示wifi系统面临全球性漏洞。攻击者必须距离受害者足够近,这一潜在漏洞也不会威胁到和安全网站的连接,比如银行服务、在线购物等等。”

“我们正在审查这份报告,必要时将为用户提供指导。维护互联网安全是国家网络安全中心的重要任务,我们将不断提供相关建议,如wifi安全、设备管理和浏览器安全等。”

面对这一新发现的漏洞,美国计算机应急准备小组(Cert)也在周日发布了一则警告。

警告列明:“这一漏洞的危害包括信息解密、封包重发、TCP连接攻击、HTTP内容注入等等。”此外,警告还补充道,由于漏洞存在于协议本身,而不是特定设备或软件,因而“大部分,或者所有规范使用这一规定的都会被影响。”警告列出了一系列潜在的攻击。

Cert出台的警告非常重要,因为从整体上来说,这一协议是加密wifi连接方面最安全的。老版本的安全标准过去已经被发现漏洞,但那时候一般都有新安全标准续接上来。

最重要的是,这一漏洞不会影响采用标准WPA2加密之外的保护方式的信息。也就是说,安全的网站仍然安全,另外,虚拟私人网络(VPN)和SSH通讯等加密连接也是安全的。

但是,和网站的不安全连接——也就是网址栏没有挂锁图标的网站,往往支持HTTPS,属于公开连接,在漏洞修复之前,任何互联网用户都可以看到相关信息。

同样的,家庭互联网连接在短时间内也无法保证百分百安全。许多无线路由器经常进行更新,也就意味着它们会不断以不安全的方式和网络传输信息。不过,Vanhoef表示,如果手机或电脑进行了漏洞修复,也无法阻止其通过不安全的路由器传输信息。也就是说,即便是未打补丁的路由器用户,也应当尽可能多的修复自己的设备,取保在其他网络上的安全。

订阅服务Iron的首席技术官Alex Hudson表示,现在“保持冷静”非常重要。

“这一漏洞所能带来的安全威胁非常有限:因为攻击者必须在受害者附近。”Hudson写道,“所以说,你不是突然间就会被攻击了。”

“另外,很有可能你没那么多依赖WPA2安全性的协议。每次你打开HTTPS网站的时候,你的浏览器都会和独立的加密层谈判。通过wifi登陆安全网站仍然是完全安全的。希望——但是不保证——你没有那么多需要WPA2加密的信息。”

“小公司和家庭用户应当警惕起来,但不用过分担心。”Wuest补充说道,他建议大部分用户积极更新软件。

Weust,在这一漏洞中,我们所学到最重要的一课就是,完全依赖一份安全协议风险太大。“不要对wifi依赖太高,需要进行重要事项的时候,用用VPN或安全连接。”

不同设备和操作系统因为运用WPA2协议的方式不同,所受影响的程度也不同。其中,受威胁最高的是安卓6.0(Marshmallow)和Linux;而iOS和Windows因为没有完全采纳WPA2协议,也就成了最安全的。不过,能够免疫着一漏洞的设备或软件并不存在。

面对这一漏洞,谷歌表示:“我们已经了解到此问题,并将在接下来的几周内为受影响的设备提供补丁。”微软回应:“我们已经发布了针对这一问题的安全更新。手动更新或自动更新的用户都会得到保护。”

1、猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。
2、转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:lieyunjingxuan
)字样。
3、猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
4、联系猎云,请加微信号:jinjilei
相关阅读
推荐阅读
{{item.author_display_name}}
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×