WiFi曝重大安全性漏洞能偷照片密碼，安卓手機是重災區？

文丨AI財經社 唐煜

編丨嘉辛

隨著移動設備的普及， WIFI越來越成為人們生活中的必備品。

WAP2可稱為目前最安全的WIFI安全加密協議。 它可以阻擋未知終端接入人們的路由器，

防止非法使用者竊聽或侵入無線網路。 但比利時魯汶大學的研究者Mathy Vanhoef發現， 這一保護機制存在漏洞。 Android、Apple、Linux、Windows、OpenBSD、MediaTek、Linksys等系統都會受到影響。

據通用漏洞披露（CVE）所述， 該概念驗證攻擊被稱作“KRACK”（Key Reinstallation Attacks）， 可譯為“金鑰重裝攻擊”。 攻擊者可以使用這種攻擊技術來竊取敏感資訊， 如信用卡號， 密碼， 聊天資訊， 電子郵件， 照片等。

針對這一情況， 10月18日， 中共北京市委網信辦、市公安局、市經信委等單位聯合發佈漏洞資訊預警通報：當前該漏洞風險處於可控範圍， 用戶無需過分恐慌， 也不用修改WIFI密碼， 及時對終端、路由器等設備的固件進行更新就可有效防禦。 同時提醒， 公共WIFI下不要登錄有關支付、財產等帳號、密碼；如需登錄、支付， 將手機切換至資料流程量網路。

據通用漏洞披露（CVE）所述， 該概念驗證攻擊被稱作“KRACK”（Key Reinstallation Attacks）， 可譯為“金鑰重裝攻擊”。 攻擊者可以使用這種攻擊技術來竊取敏感資訊， 如信用卡號， 密碼， 聊天資訊， 電子郵件， 照片等。

但這一消息已經在網路引發熱議， 眾多網友紛紛表達出對資訊安全的焦慮，

甚至有人直言：“一夜之間全世界的WIFI都不安全了。 ”

Mathy Vanhoef稱， 他不清楚目前有沒有同行已經在利用該漏洞實施攻擊。 更改Wi-Fi 密碼並不能避免此類攻擊， 使用者應該更新所有用戶端設備以及路由器的固件。

他認為， 目前WAP2依然是最安全的無線安全機制， 本次漏洞可以通過“補丁”的方式修補。 廣大普通WIFI 使用者無需過度恐慌， 但需要時刻關注路由器製造商發佈的安全更新， 以免自己被駭客攻擊。

駭客攻擊方式並不是蹭WFI

WPA， 全稱是“Wi-Fi Protected Access（Wi-Fi保護訪問）”， 是一種保護無線電腦網路（Wi-Fi）安全的系統。 有WPA和WPA2兩個標準。

它的最初版本是WEP（有線等效加密）， 但WEP不是強制使用的， 使得許多設施根本就沒有啟動 WEP， 同時密碼能被輕易破解。

這些弱點使得WEP在2003年被WAP淘汰，

又在2004年由 IEEE 802.11i 標準（又稱為WPA2）取代。 WPA2加強了生成加密金鑰的演算法， 因此即便收集到分組信息並對其進行解析， 也幾乎無法計算出通用金鑰；WPA2中還增加了防止資料中途被篡改的功能和認證功能。

至今， WPA2加密協議已經服役了13年， 可以稱為最強WIFI保護協議。 但這項報告卻使其陷入安全漩渦中。

從其中可知， 攻擊者不是通過“蹭WIFI”的方式來盜取資訊。

Mathy Vanhoef稱， 攻擊者首先在受害者和真正的WIFI網路（稱為基於管道的MitM職位）之間首先獲得了一個中間人（MitM）。 但是， MitM的位置並不能使攻擊者解密資料包。 這個位置只允許攻擊者可靠地延遲， 阻止或重放加密的資料包。 所以就攻擊而言， 駭客還不能解密所有的資料。

所以， 一定要看這一點——因為這次的攻擊行為不是遠端發起的， 需要駭客在目標無線網路範圍內才能進行。 還有一個理由：這個攻擊還沒公佈攻擊代碼， 按照以前的攻擊規律， 要過很長時間這個漏洞才會被用於現實攻擊。

不能遠端發起攻擊， 普通用戶無需恐慌

楊卿還指出， 該漏洞屬於範圍性影響，需處在合法wifi附近的百米左右的信號範圍，並不能遠端發起。同時，該漏洞Poc利用代碼及未公佈。這意味著，目前用戶不用過度恐慌。但是修復漏洞對於各大手機廠商已經迫在眉睫。

在漏洞爆出後，微軟發言人表示，包括Windows10、Windows10 Mobile在內的Windows支持用戶已經在10月10日的周日補丁更新日獲得了修復性更新，開啟自動更新效果更佳。

據 iMore報導，蘋果已經在最新的測試版系統當中修復了這個嚴重的漏洞，該漏洞將在最新的iOS11.1 Beta3系統、watchOS 4.1和tvOS 11.1開發者測試版當中被修復。

Linksys/Belkin和 Wemo 已經知道 WAP 漏洞的存在。安全團隊正在核查細節資訊，會根據情況提供指導意義。

超過40%的安卓設備被報告受到了本次 Wi-Fi 漏洞的影響，但穀歌將在下個月為 Pixel 推送安全更新。據雷鋒網報導，一位元專注安卓和iOS 研究的安全研究員稱，安卓6.0及其以上的系統都受影響，補丁要到11月6日google才放出，所以在這段時間內，對使用安卓手機的用戶來說是災難。

【想看更多，請移步“AI財經社（ID:aicjnews）”微信公眾號】

該漏洞屬於範圍性影響，需處在合法wifi附近的百米左右的信號範圍，並不能遠端發起。同時，該漏洞Poc利用代碼及未公佈。這意味著，目前用戶不用過度恐慌。但是修復漏洞對於各大手機廠商已經迫在眉睫。

在漏洞爆出後，微軟發言人表示，包括Windows10、Windows10 Mobile在內的Windows支持用戶已經在10月10日的周日補丁更新日獲得了修復性更新，開啟自動更新效果更佳。

據 iMore報導，蘋果已經在最新的測試版系統當中修復了這個嚴重的漏洞，該漏洞將在最新的iOS11.1 Beta3系統、watchOS 4.1和tvOS 11.1開發者測試版當中被修復。

Linksys/Belkin和 Wemo 已經知道 WAP 漏洞的存在。安全團隊正在核查細節資訊，會根據情況提供指導意義。

超過40%的安卓設備被報告受到了本次 Wi-Fi 漏洞的影響，但穀歌將在下個月為 Pixel 推送安全更新。據雷鋒網報導，一位元專注安卓和iOS 研究的安全研究員稱，安卓6.0及其以上的系統都受影響，補丁要到11月6日google才放出，所以在這段時間內，對使用安卓手機的用戶來說是災難。

【想看更多，請移步“AI財經社（ID:aicjnews）”微信公眾號】