2017年10月17日 星期二

The good news and bad news about today’s massive Wi-Fi bug


Top stories

Wi-Fi - Wikipedia

https://en.wikipedia.org/wiki/Wi-Fi
Wi-Fi or WiFi is a technology for wireless local area networking with devices based on the IEEE 802.11 standards. Wi-Fi is a trademark of the Wi-Fi Alliance, ...


Wi-Fi安全協議曝出嚴重漏洞

用於連接全世界無線設備的Wi-Fi軟件存在漏洞,可讓黑客得以入侵使用Wi-Fi的設備。密碼專家稱,這是多年來發現的最嚴重漏洞。不過與消費者相比,這個漏洞對大公司的影響可能更大。


 ENLARGE
圖片來源:KRISZTIAN BOCSI/BLOOMBERG NEWS
用於連接全世界無線設備的Wi-Fi軟件存在漏洞,可讓黑客得以入侵使用Wi-Fi的設備,這促使設備生產商匆忙發布補丁程序。
密碼專家稱,一位安全研究人員周一報告的Wi-Fi漏洞是多年來發現的最嚴重漏洞。不過與消費者相比,這個漏洞對大公司的影響可能更大。
利用該漏洞的攻擊方式是,生成一個克隆的無線網絡,以不安全的形式重設受害設備的密鑰,從而暴露之前通過Wi-Fi保護存取協議II (Wi-Fi Protected Access II,簡稱WPA2)加密的任何信息。WPA2被認為是最先進的無線安全技術,已經取代了之前的Wi-Fi安全標準,比如Wi-Fi保護存取協議(WPA)和有線等效加密(WEP)等。
發現該漏洞的比利時魯汶大學(University of Leuven)研究人員Mathy Vanhoef表示,WPA2被攻破,黑客就可以看到通過該無線網絡傳輸的密碼或其他敏感信息。他在自己建立的用以解釋該問題的網站上演示了這種破解方法,他稱之為“密碼重置攻擊”(KRACK)。
Vanhoef寫道,通過Wi-Fi網絡傳輸、但使用其他技術加密的數據不會曝露,比如保護許多網站的基於網絡的HTTPS加密技術。
Vanhoef在一個視頻中展示了這種攻擊方法可能怎樣從連接WPA2無線網絡的安卓(Android)手機中竊取數據。這樣的攻擊要想奏效,黑客首先需要足夠接近其受害設備的無線網絡,以利用特殊設備攔截那個網絡中的路由器、手機和電腦收發的信息。
約翰霍普金斯大學(Johns Hopkins University)計算機科學助理教授Matthew Green稱,單是這一點就足以讓大部分黑客打消攻擊多數消費者網絡的念頭。
他表示,但對於那些下決心攻擊的黑客來說,這提供了從公司網絡中竊取信息的新方法。
蘋果公司(Apple Inc., AAPL)和Alphabet Inc. (GOOG)旗下谷歌(Google)周一稱,預計將在幾周內發布針對受影響設備的補丁程序。微軟(Microsoft, MS)表示,該公司於10月10日發布了補丁程序。
行業組織Wi-Fi聯盟(Wi-Fi Alliance)周一稱,目前還沒有黑客利用該漏洞發起攻擊的跡象。
Wi-Fi聯盟發言人表示,自2006年以來,所有Wi-Fi設備都采用了WPA2,目前在用的幾乎所有Wi-Fi設備都采用這種加密技術。

沒有留言: