你家的Wifi並不安全，安全漏洞可讓人盜取敏感信息

編者按：本文來自網易科技，編譯：過客，36氪經授權發布。

據研究人員稱，用於保護絕大部分Wifi連接的安全協議已經被破解，這就有可能讓無線網路連接遭到惡意竊聽或者攻擊。比利時天主教魯汶大學的一位安全專家Mathy Vanhoef在無線網路安全協議WPA2中發現了這一漏洞。

Vanhoef在周一早晨的一份報告中稱：「攻擊者可以利用這一漏洞讀取之前被假定為安全加密的信息內容。這一漏洞可能遭到濫用來盜取敏感信息，比如說信用卡號碼、密碼、聊天信息、郵件以及照片等等。」

Vanhoef強調稱，這種攻擊可能給現代所有受保護的Wifi網路帶來威脅。根據網路的配置，黑客也可能利用漏洞插入和操控數據。比如說，黑客可以將勒索軟體和其它惡意軟體插入到用戶瀏覽的網站中。

Vanhoef的報告指出，這種漏洞能夠影響到許多操作系統和設備，其中就包含了安卓、Linux、Apple、Windows、OpenBSD、MediaTek和Linksys等系統。Vanhoef寫道：「如果你的手機支持Wifi連接，那麼就最可能受到影響。通常來說，受害者傳輸的任何數據或者信息都能夠破譯。受害者接收到的信息也可能由於設備及網路配置等因素遭到破解。」

英國國家網路安全中心在一份聲明中稱正在檢測Wifi網路的漏洞。專家已經開始對潛在的全球性Wifi系統漏洞進行檢查。Vanhoef把這個漏洞稱作Krack，入侵者必須接近目標才能利用漏洞，而銀行和在線商城等安全網站鏈接並未受到漏洞影響。

據英國國家網路中心稱：「我們正在對這份報告進行研究，而且如果有需要我們會提供引導。網路安全是網路安全中心首先要考慮的事情，而且我們會不斷更新Wifi安全、設備管理以及瀏覽器安全相關問題的建議。」

美國計算機應急分隊針對這一漏洞在周日發出警告稱：「這種漏洞可能導致解密、數據包重放、TCP連接被劫持、HTTP內容注入等問題。由於這種漏洞存在於協議本身，而不是特定的設備或者軟體，大多數或者所有正確的應用標準都將受到影響。」

這種攻擊趨勢是非常值得注意的，因為被入侵的安全協議通常是加密Wifi連接的最安全方式。目前這種攻擊不太可能影響通過其它加密協議保護的網路信息。這意味著訪問安全網站的連接仍然是安全的，其它像虛擬專用網和SSH通信的加密連接也是安全的。

專家稱，在這一漏洞被修復之前，訪問那些地址欄沒有鎖形圖表顯示的網站應當被認為對於任何網路用戶來說都是公開而且可見的。同樣家庭網連接也無法一直保證安全性。許多無線路由器很少升級，這意味著它們將繼續以不安全的方式通信。

Vanhoef稱，如果修復補丁安裝在手機或者計算機上，那麼這些設備仍然將藉助不安全的路由器通信。那意味著未升級路由器的用戶應當儘可能多的修復他們的設備，來確保其它網路連接的安全性。

Iron訂閱服務的首席技術官員Alex Hudson稱：「重要的要保持冷靜。Wifi面臨的只是有限的實體安全，這種漏洞攻擊需要接近你的Wifi網路，因此你不會突然遭受到網路上任何人的攻擊。雖然你受到的保護很弱，但是危險等級並沒有預期的那樣高。」

除此之外，你的網路連接很可能沒有太多的依賴於WPA2。每一次當你訪問一個網站時，你的瀏覽器會提供一個額外的加密保護。通過Wifi訪問安全網站現在仍然是安全的。因此你通過WPA2協議在網上泄漏的信息或許並不多，但是專家也無法做出保證。

根據WPA2協議使用程度的差異，不同的設備和操作系統受到的影響程度也將不同。安卓6.0和Linux系統遭受的最嚴重攻擊或將導致加密密匙被重寫，與此同時，iOS和Windows系統具有一定的安全性，因為它們並不會完全依賴於WPA2協議，因此會避開這一漏洞。但是專家認為沒有設備和系統能夠完全不受漏洞的影響。

美國國際計算機應急分隊在8月28日就通知了各大科技公司，因此大多數公司都在一個半月以前進行了修復。英國《衛報》的記者已經詢問了蘋果、谷歌、微軟和Linksys等公司的補丁狀態。谷歌公司稱：「我們已經意識到這一問題，而且我們將在未來數周內為任何受到影響的設備提供補丁。」微軟公司聲稱：「我們已經公布了一項安全升級來應對這一問題。進行升級或者自動更新的用戶將受到保護。」截至發稿時，其它公司尚未作出回復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！