不知道大家会不会和小编一样,每当去到一个新的地方,总是会掏出手机,并不是为了照相,而是会弱弱地问一句“这里的WiFi密码是什么”?无线WiFi已经变得和现代人的日常生活息息相关,在小编看来,没有WiFi的手机就像失去了调味料的方便面,会立即变得索然无味。
但如果有一天,你所能连接到的WiFi一夜之间都变得不再安全,通过自己路由器的WiFi上网却陷入勒索软件和其他恶意软件的包围中,你用WiFi接收或者发送的内容将轻易被直接篡改,这个世界将会变成怎样?
这可不是电影里的情节,10月16日晚间,比利时鲁汶大学的研究人员马西·范霍夫(Mathy Vanhoef)宣布发现了WiFi设备的安全协议存在漏洞。范霍夫表示,WPA2安全加密协议已经被破解,并在一个YouTube上的演示视频中对一部Android 智能手机执行了一次 KRACK(密钥重装攻击)。在演示中,攻击者可以对用户传输的全部数据进行解密。
什么是KRACK
这个对WiFi设备上安全协议造成极大威胁的漏洞名叫“KRACK”,也就是“Key Reinstallation Attack”(密钥重安装攻击)的缩写,它曝露了WPA2的一个基本漏洞。WPA2是一个大多现代无线网都会用到的通用协议,它是一套用于保护Wi-Fi的密钥加密机制,有了它,我们平时的上网记录、账号密码都不会轻易泄露。攻击者会重复使用客户端设备加入Wi-Fi网络时提供的一次性密钥,通过这种方法破解接入点与客户端设备之间交换的信息。
范霍夫在网站上描述了攻击流程:当一台设备加入一个受保护的Wi-Fi网络时,一个名为四向握手的流程便会发生。这种“握手”会确保客户端与接入点都能拥有正确的登录信息,并生成一个新的加密密钥来保护后续的网络流量。这个加密密钥会在四向握手的第三步安装,但如果接入点认为消息丢失,有时会重复发送相同的密钥。范霍夫的研究发现,攻击者其实可以迫使接入点安装相同的加密密钥,这样一来,入侵者便可借此攻击加密协议,并破解数据。目前,所有具备现代保护机制的 Wi-Fi 网络皆使用四次握手机制,这意味着此类网络都将受到发现的攻击手段的某些变种的影响。
会产生什么影响?
攻击者能够使用这种新型攻击方法读取此前被认为是安全加密的信息,进而窃取各类敏感信息,具体包括信用卡号码、密码、聊天信息、电子邮件以及图片等等。根据具体网络配置的不同,攻击者还能够将勒索软件或者其他恶意软件注入至目标网站当中。
范霍夫警告称,任何支持Wi-Fi的设备都有可能受到KRACK漏洞的影响,通过初步研究,已经发现 Android、Linux、苹果、Windows、OpenBSD、联发科以及 Linksys 等厂商的产品都会受到某些变种攻击的影响。但Linux和Android 6.0及以上版本的操作系统面临的风险特别大。这类设备目前占到Android设备总量的40%以上。此类攻击可能将黑手指向个人与企业 Wi-Fi 网络、较为陈旧的 WPA 与最新的 WPA2 标准,甚至攻击仅使用 AES 的网络。
不过凡赫尔夫没有公布任何概念验证漏洞利用代码,暂时不会有太大的影响,攻击也不会大规模爆发。
攻击限制
尽管凡赫尔夫在视频里进行了KRACK的攻击事件,但是此攻击还是存在着一下的限制:
他们无法通过这种漏洞来获取你的 Wi-Fi 密码。
攻击者必须要处于你的设备所在的 Wi-Fi 网络的覆盖范围内,无法远程实施攻击
只有在攻击者清楚用户正在做什么的时候,他们才能获取用户未加密的流量。
虽然攻击受到以上限制,但至少从理论上讲,攻击者可以利用这种漏洞。而随着时间的推移,影响巨大。而这个漏洞最大的受害者就是那些在咖啡馆和机场共享同一个 Wi-Fi 网络的用户,以及企业办公场地的同享一个WiFi的用户。
各大公司如何回应?
微软
微软已经发布安全补丁,使用Windows Update的客户可以使用补丁,自动防卫。我们及时更新,保护客户。微软实际上在10月10日发布的升级中就已经修复了这个漏洞,但他们等到其他厂商制作和发布升级之后才披露了这个消息。
苹果
11月10日中午,苹果推送了iOS 11.1正式版。在这个新版本中,苹果不仅新增70多种表情符号,还从根本上修复了WPA2的WiFi安全漏洞。
谷歌
11月6日发布了安全修复补丁,谷歌自家的Pixel设备可率先获得升级,但其他多数设备则要继续等待
Linksys/Belkin
Linksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。我们一直将客户放在第一位,会在安全咨询页面发布指导意见,告诉客户如何升级产品,如果需要就能升级。
普通用户该如何应对
为了保护自己免受KRACK攻击,最直接的方法就是下载相关公司最新的安全修补程式。然后将智能手机、平板电脑和笔记本电脑等Wi-Fi设备升级到最新的版本。最容易被忽略的还有路由器,如果有可能,还应该更新路由器固件。
如果你的路由器没办法升级,在这种情况下,你最好只使用有线网络,直到安全补丁推送过来。一定记住在路由器上关闭 Wi-Fi 网络,以确保所有流量都经过有线网。或者采用第二代防火墙等产品,来保障网络的安全。
漏洞的发现无疑是让每天使用WiFi进行各种信息传输的我们敲响了一个警钟。所幸发现漏洞的是研究人员而不是别有用心的黑客。小编在这里也再次提醒大家,在这个高度网络化的时代,网络支付频繁发生、私人信息不断流通的今天,网络安全这个观念得时刻牢记在心!
