新媒稱, 新加坡電腦緊急反應組發出安全通告說, 全球WiFi行業協會的WPA2加密協議存在漏洞, 呼籲使用者儘快對本身的各種網路設備安裝補丁。
據新加坡《聯合早報》網站10月18日報導, 全球通用的無線網路(WiFi)加密機制發現嚴重安全性漏洞, 使用WPA和WPA2加密協定來保護本身的WiFi網路的使用者, 因此面對受駭客攻擊的風險。
報導稱, 新加坡共有超過1100萬個使用或提供WiFi連接的網點, 包括住家、公司、咖啡座和公共場所。 任何能連接至WiFi的設備都可能受安全性漏洞影響, 包括智慧手機、電腦、監控攝像器、路由器等。
新加坡電腦緊急反應組10月17日發出網路安全通告說,
報導稱, 不法之徒可利用這些漏洞對個別設備展開“中間人”攻擊, 監控WPA和WPA2使用者的網路流量, 或加以操控。
報導稱, 使用者連接至WiFi時, 雙方一般通過稱為“四次握手”的驗證方式辨別彼此身份。 但在KRACK攻擊中, 駭客冒充WiFi網路, 用仿造網路向使用者端重新傳輸“四次握手”中的第三次信號, 迫使使用者端重用亂數, 把已知的金鑰騙到手。
這使得原本連接至真實網路的設備錯誤連接至仿造網路, 駭客也能用騙取到的金鑰截取往來WiFi網路和使用者的資料並解碼。
由於這次是WiFi標準本身出現漏洞, 為路由器或其他上網終端更換密碼等應急方法是無用的。
根據科技網站“The Verge”的介紹, 駭客要施行攻擊需要先進行大量的準備, 才能做具針對性的攻擊。 而美國國土安全部的電腦緊急反應組也指出, 不法分子必須能接觸到個人的WiFi無線網路才能利用漏洞。
報導稱, 最先於本月16日發現KRACK的比利時魯汶大學研究人員說, 不法分子可利用漏洞來“讀取此前被認為獲得安全加密的資訊”, 從而竊取敏感資料如信用卡號、密碼、聊天短信、電郵、照片等, 也能用來在網站植入勒索軟體等惡意程式。
報導稱, 這類攻擊可以侵入現代所有受到保護的WiFi網路, 搭載任何作業系統的設備都可能受到影響,
WiFi聯盟表示, 目前沒有證據顯示這個漏洞遭到了惡意利用, 聯盟也已立刻採取行動, “確保WiFi用戶可以繼續獲得強大的安全保護”。
報導稱, 除了新加坡, 美國、紐西蘭、印度等國政府與安全研究人員10月16日也相繼發出警告。
美國國土安全部屬下電腦應急反應小組10月16日發佈安全公告說, 駭客能夠利用KRACK漏洞竊聽私人通訊, 並呼籲使用受影響設備的使用者安裝廠商提供的安全補丁。 紐西蘭和印度政府也發出類似警告。
芬蘭電腦安全公司F-Secure建議, WiFi使用者可使用虛擬私人網路(VPN), 並更新路由器、電腦、手機等所有電子設備的軟體與作業系統, 以降低風險。
另據新加坡《聯合早報》網站10月17日報導, 專家最近在受到廣泛使用的Wi-Fi加密協議上發現新的漏洞,
美國國土安全部的電腦緊急應變小組發佈安全公告指出, 駭客可能利用這個漏洞, 竊聽或劫持使用無線網路的裝置。
該小組說:“攻擊者可利用這些弱點控制所入侵的系統。 ”
報導稱, 這一漏洞是由比利時魯汶大學電腦科學家發現的, 他們稱之為“金鑰重裝攻擊”(Key Reinstallation Attack, 簡稱KRACK)。
該大學研究員范赫夫說, 攻擊者可以利用加密協議WPA2的弱點, “讀取先前假設是安全加密的資訊”。
他指出:“這可以用來竊取敏感資訊如信用卡號碼、密碼、聊天訊息、電子郵件、照片等等。 這類攻擊可以入侵現代所有受到保護的Wi-Fi網路。
比利時研究員在論文中說, 所有搭載作業系統的裝置都可能受到KRACK攻擊, 包括41%的Android裝置。
研究員表示, 這個新發現的安全性漏洞很嚴重, 因為Wi-Fi無所不在, 而要修補數以百萬計無線系統也有難度。