WiFi 爆重大安全漏洞！iOS、Android、Windows 等所有無線設備都不安全了

據報道，有計算機安全專家發現了 WiFi 設備的安全協議存在漏洞。這種漏洞能夠影響到許多操作系統和設備，其中就包含了安卓、Linux、Apple、Windows、OpenBSD、MediaTek 和 Linksys 等系統。

無論你在家還是在公眾場合，只要連接 WiFi ，都有可能會被入侵。

一旦被攻擊用戶的信用卡號碼和密碼、訊息、電郵及照片等不再保密。黑客甚至可以將勒索軟體和其它惡意軟體插入到用戶瀏覽的網站中。

漏洞名叫「KRACK」，也就是「Key Reinstallation Attack」（密鑰重安裝攻擊）的縮寫，它曝露了WPA2的一個基本漏洞（使用範圍最廣的 Wi-Fi 網路保護協議）。攻擊者會重複使用客戶端設備加入 Wi-Fi 網路時提供的一次性密鑰，通過這種方法破解接入點與客戶端設備之間交換的信息。

何為 WPA2？

WPA，全稱為 Wi-Fi Protected Access（保護無線電腦網路安全系統），有 WPA 和 WPA2 兩個標準，是一種保護無線網路安全的加密協議。而 WPA2 是基於 WPA 的一種新的加密方式，支持 AES 加密，新型的網卡、AP 都支持 WPA2 加密，但現在已經被黑客破解。攻擊者如今可讀取通過 WAP2 保護的任何無線網路（諸如路由器）的所有信息。

攻擊原理

范霍夫在網站上描述了攻擊流程：當一台設備加入一個受保護的Wi-Fi網路時，一個名為四向握手的流程便會發生。這種「握手」會確保客戶端與接入點都能擁有正確的登錄信息，並生成一個新的加密密鑰來保護網路流量。

這個加密密鑰會在四向握手的第三步安裝，但如果接入點認為消息丟失，有時會重複發送相同的密鑰。范霍夫的研究發現，攻擊者其實可以迫使接入點安裝相同的加密密鑰，這樣一來，入侵者便可藉此攻擊加密協議，並破解數據。

根據 WPA2 協議使用程度的差異，不同的設備和操作系統受到的影響程度也將不同。安卓6.0 和 Linux 系統遭受的最嚴重攻擊或將導致加密密匙被重寫，與此同時，iOS 和 Windows 系統具有一定的安全性，因為它們並不會完全依賴於 WPA2 協議，因此會避開這一漏洞。但是專家認為沒有設備和系統能夠完全不受漏洞的影響。

針對 KRACK 漏洞各大企業如何回應？以下為各企業截至發稿前的回應：

微軟：微軟於10月10日發布安全補丁，使用Windows Update的客戶可以使用補丁，自動防衛。我們及時更新，保護客戶，作為一個負責任的合作夥伴，我們沒有披露信息，直到廠商開發並發布補丁。

蘋果 iOS 和 Mac：蘋果證實 iOS、MacOS、WatchOS、TVOS 有一個修復補丁，在未來幾周內就會通過軟體升級的形式提供給客戶。

谷歌移動/谷歌Chromecast/ Home/ WiFi：我們已經知道問題的存在，未來幾周會給任何受影響的設備打上補丁。

谷歌Chromebook：暫時沒有發表評論。

亞馬遜Echo、FireTV和Kindle：我們的設備是否存在這樣的漏洞？公司正在評估，如果有必要就會發布補丁。

三星移動、三星電視、三星家電：暫時沒有發表評論。

思科：暫時沒有發表評論。

Linksys/Belkin：Linksys/Belkin和Wemo已經知道WAP漏洞的存在。安全團隊正在核查細節信息，會根據情況提供指導意義。我們一直將客戶放在第一位，會在安全諮詢頁面發布指導意見，告訴客戶如何升級產品，如果需要就能升級。

Netgear：最近安全漏洞 KRACK 曝光，Netgear 已經知道，KRACK 可以利用 WPA2 安全漏洞發起攻擊。Netgear 已經為多款產品發布修復程序，正在為其它產品開發補丁。你可以訪問我們的安全諮詢頁面進行升級。

為了保護用戶， Netgear 公開發布修復程序之後才披露漏洞的存在，沒有提到漏洞的具體信息。一旦有了修復程序，Netgear 會通過「Netgear 產品安全」頁面披露漏洞。

Eero：我們已經知道 WAP2 安全協議存在 KRACK 漏洞。安全團隊正在尋找解決方案，今天晚些時候就會公布更多信息。我們打造了雲系統，針對此種情況可以發布遠程更新程序，確保所有客戶及時獲得更新軟體，自己不需要採取任何動作。

D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia：暫時沒有發表評論。

英特爾：ICASI 和 CERT CC 已經通知英特爾，說 WPA2 標準協議存在漏洞。英特爾是 ICASI 的成員，為「協調的漏洞披露（Coordinated Vulnerability Disclosure，CVD）」貢獻了自己的力量。

英特爾正在與客戶、設備製造商合作，通過固件和軟體更新的方式應對漏洞。如果想獲得更多信息，可以訪問英特爾安全諮詢頁面。

AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/聯想/戴爾/Roku/LG電子/LG移動/LG家電/通用電氣:暫時沒有發表評論。

Nest：我們已經知道漏洞的存在，未來幾周將會為 Nest 產品推出補丁。

飛利浦 Hue：KRACK 攻擊利用了 WiFi 協議。我們建議客戶使用安全 WiFi 密碼，在手機、計算機及其它 WiFi 設備上最新補丁，防範此類攻擊。飛利浦 Hue 本身並不直接支持WiFi，因此不需要防範補丁。還有，我們的雲帳戶 API 可以用 HTTPS 進行保護，增強安全，這是一個額外的安全層，不會受到 KRACK 攻擊的影響。

Kwikset/Yale/Schlage/Rachio/iHome/伊萊克斯/Frigidaire/Netatmo/Control4：暫時沒有發表評論。

Roost：Roost接收或者發送的數據流都用最新的SSL/TLS加密技術進行端到端加密。我們認為自己的設備沒有風險。建議用戶聽從WiFi Alliance的建議，在Access點使用WiFi加密，安裝最新的軟體補丁。

如何避免被攻擊

目前，任何使用 Wi-Fi 的設備都有可能面臨這一安全風險。變更 Wi-Fi 網路的密碼也不能避免。為避免受 KRACK 攻擊，建議及時更新無線路由器、手機，智能硬體等所有使用WPA2無線認證客戶端的軟體版本。（有補丁的前提下）

著名黑客楊卿發布博文稱：普通用戶不比過於驚慌，一來，該漏洞 Poc 代碼未公布；二來，這次的攻擊行為不是遠程發起的，需要黑客在目標無線網路範圍內才能進行；三來，一般人短時間內不具備使用發動攻擊的能力。

不過，在漏洞尚未修復之前，對於普通手機用戶來說，使用支付寶、微信支付、網銀的時候，建議大家還是盡量使用蜂窩移動網路。

編輯 | 碼哥

圖片源於網路，版權歸原作者所有

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 程序員之家 的精彩文章: