10月17日電 16日晚,據外媒報道,用於保護WiFi安全的WPA/WPA2加密協議漏洞曝光,該漏洞名稱為“金鑰重灌攻擊”KRACK(Key Reinstallation Attacks),幾乎影響全部計算機、手機和路由器等WiFi裝置,使駭客可以監聽到透過接入WiFi網路裝置進行的資料通訊,竊取使用者隱私;並可以劫持使用者客戶端到一個釣魚熱點上,實現流量劫持、篡改等。
360安全中心對漏洞緊急分析後提醒廣大使用者,無需過分恐慌,該漏洞不能用於破解使用WPA/WPA2無線網路的密碼,只會影響在使用WPA/WPA2認證的無線網路之下的無線客戶端(如手機、智慧裝置)。所以使用者根本無需修改密碼,只要及時更新無線路由器、手機、智慧硬體等所有使用WPA/WPA2無線認證客戶端的軟體版本,就可以避免遭遇攻擊。
KRACK攻擊簡單來說就是一種針對客戶端的攻擊方式,漏洞利用方法是攻擊者根據合法WiFi偽造同名的釣魚WiFi,並利用漏洞迫使無線客戶端連線到釣魚WiFi,這樣攻擊者就可以對無線客戶端的網路流量進行篡改,抓取社交網站賬號密碼。
目前,該漏洞的利用程式碼並未公佈,且漏洞屬於範圍性影響,需處在合法WiFi附近不超過100米的範圍內才能實現攻擊,再加上漏洞利用難度頗高,短時間內很難出現利用該漏洞的真實攻擊。
據瞭解,漏洞發現者已經在7月將漏洞細節報告給廠商,10月2日,Linux的補丁已公佈;10月10日,微軟在Windows10作業系統中釋出補丁;同一天,Apple也釋出了安全公告,在最新的beta版iOS、macOS、 tvOS和 watchOS中修復了無線網路安全漏洞;谷歌方面則表示將在近期給受影響裝置打上補丁。
360無線電安全研究院負責人楊卿表示,該漏洞風險處於可控範圍,使用者無需過分恐慌,也不用修改WiFi密碼,及時更新所有使用WPA/WPA2無線認證客戶端的軟體版本就可有效防禦。同時注意,在不使用WiFi時關閉手機WiFi功能,公共WiFi下不要登入有關支付、財產等賬號、密碼;如需登入、支付,將手機切換至資料流量網路。