现在的位置: 首页资讯>正文
如何应对Wi-Fi 安全漏洞?安全补丁来一波?来看安全专家怎么说
2017年10月20日 作者: 1 95+ 0

询问了安全技术专家之后,我们来告诉你这次事件是什么、为什么这样以及怎么做最保险。

如今,你可能每天都离不开 Wi-Fi,它像水、电、空气一样包围你的生活。所以,当不少人看到今天关于 Wi-Fi 被曝出重大安全漏洞的新闻时,心里都一阵恐慌,担心自己连上 Wi-Fi 的手机被黑客「黑掉」。但是,事实真有那么可怕吗?

Wi-Fi 安全性出现漏洞,是比利时鲁汶大学安全研究员 Mathy Vanhoef 近日在他的论文里指出的问题。

Wi-Fi001

他发现 WPA2 加密协议存在漏洞并可被破解,在某些情况下,攻击者可利用漏洞嗅探到使用 Wi-Fi 的客户端的通信数据包(流量)并可以劫持该客户端到一个钓鱼 AP 上,实现流量劫持、篡改等。这意味着,黑客可能会借此窃取你的手机密码,拦截你的财务数据,甚至操控你的手机。对,即便你更改 Wi-Fi 密码也无法避免。

作为 Wi-Fi 通信加密方式,WPA2 从 2004 年起,就作为 Wi-Fi 联盟面向社会推行的强制性标准使用至今,Mathy Vanhoef 的研究是对它第一次的破解,而在 WPA2 背后,正是全球数以亿计的电子设备,因此引发如此强烈的反应便不难理解。

Wi-Fi002

Vanhoef 将这一漏洞命名为「KRACK」,是「Key Reinstallation Attack」(密钥重安装攻击)的缩写。他发现 WPA2 在四路握手(four-way handshake)时,允许拥有预共享密码的新设备加入网络,而这正是问题本身,黑客可以切入进用户连接的路由器并替换原来的连接,让其连到其它路由器上,从而达到数据挟持的目的。

Vanhoef 对一部 Android 智能手机执行了一次 KRACK,结果显示攻击者有能力对受害者传输的全部数据进行解密。他表示密钥重装攻击对于 Linux 以及 Android 6.0 或者更高版本系统拥有强大的破坏性。Vanhoef 对此在论文中讲了很多,如果你感兴趣,不妨看看他的论文内容 。

「问题出在 wpa_supplicant (一个开源软件项目)身上,因为 Android Wi-Fi 系统引入了 wpa_supplicant,它的整个 Wi-Fi 系统以 wpa_supplicant 为核心来定义上层用户接口和下层驱动接口,由于该模块客户端功能实现上的问题,导致漏洞容易被触发。」360 无线电安全研究院负责人杨卿告诉极客公园,虽然这次漏洞本身危害严重,但由于作者并未公布该漏洞的测试程序和具体攻击方法,并且该漏洞对攻击环境有足够高的要求,所以初步分析对我们的隐私以及财产影响不大。

所以说,目前即便黑客了解到这其中的隐患,想要利用也有不低的成本。并且,利用这种缺陷无法批量对无线客户端进行攻击,只能一个一个攻击客户端,对于黑客来说攻击效率低下,所以普通用户中招的可能性很小。

Wi-Fi003

说到这你应该可以缓口气,对于每天都要用 Wi-Fi 的我们来说,虽然今天的新闻并不是好消息,但我们还不至于草木皆兵。

「这个漏洞可以实现对目标网络或主机通信的监听。主要用途应该是做流量劫持攻击。比如诱使目标访问到钓鱼网站,欺骗下载恶意软件。」猎豹移动安全专家李铁军告诉极客公园,如果用户端和服务器之间采用加密的通信,被这种漏洞攻击的影响就更小。

所幸,这次漏洞事件可以通过系统安全补丁来弥补,目前包括微软、Google、苹果在内的公司都做出回应,会在接下来对系统做出安全升级。

而考虑到目前每天都在拿着智能手机使用的我们来说,如果你非常担心自己收到影响,下面这些来自安全专家的建议可以帮到你:

及时更新无线路由器、手机,智能硬件等所有使用 WPA2 无线认证客户端的软件版本。(有补丁的前提下)

有条件的企业及个人请合理部署 WIPS(无线入侵防御系统),及时监测合法 WiFi 区域内的恶意钓鱼 Wi-Fi,并加以阻断干扰,使其恶意 Wi-Fi 无法正常工作。

无线通信连接使用加密隧道及强制 SSL 规避流量劫持与中间人攻击造成的信息泄漏。

在不使用 Wi-Fi 时关闭手机 WiFi 功能,公共 Wi-Fi 下不要登录有关支付、财产等账号、密码。如需登录、支付,将手机切换至数据流量网络。

家用 Wi-Fi 该怎么使用就怎么使用,WPA/WPA2 本身是安全的,也不用修改 WiFi 密码。

原文链接: http://www.eeboard.com/news/wi-fi-6/

搜索爱板网加关注,每日最新的开发板、智能硬件、开源硬件、活动等信息可以让你一手全掌握。推荐关注!

【微信扫描下图可直接关注】

aiban

科技早知道:

15种开发平台支持,千套免费板卡阵容,更有万元现金大奖等着你,2017贸泽电子智造创新大赛群英征集令开始了,你敢接令吗?

为啥中兴在手机业务上不如华为?因为一手好牌已早已打的稀烂!

因为看透未来几年智能音箱的发展,一块智能语音识别开发套件就让巨头们争的头破血流!

高通怼华为麒麟970:把AI的单元模块内置到芯片上谁不会啊

中国新超算彻底告别进口CPU ,国产芯片FT-2000系列芯片已足以与国外抗衡

  

相关文章

你家的Wi-Fi被蹭了!你造吗?
wifi

 有时看着视频突然卡了,或者下载速度明显下降,那么警惕了,你家的路由器可能就是被蹭网了!那么如何判断Wi-Fi是否被盗用呢?

物联网软件安全漏洞那么多,该如何怎么破?
iot2

近日,在“光谷集成电路芯片及IP设计高峰论坛”上,新思科技全球总裁、联合CEO陈志宽介绍了最新“软件验收”概念。物联网应用与人们的生活越来越密切,而物联网安全将是未来最需要关注的问题之一。

Windows 10手表来了!你会用吗?
Windows 10-1

在微软的计划中,Windows 10将是一个全面大统一的系统,能够适用于各种平台的操作系统充分体现了微软的野心,然而,经过这么长时间的推广,微软Windows 10操作系统似乎始终在PC这一圈混迹,...

Ubuntu 16.04 LTS迎来新Kernel Live更新:共修复14处漏洞
Ubuntu001

如果你正在使用Canonical的Kernel Live补丁更新系统实现免重启Linux Kernel更新,那么Benjamin M. Romer提醒你今天有重大更新上线。根据Kernel Live补丁安全公告LSN-0021-1,Ubuntu 16.04 LT...

iPhone/三星/Nexus等手机的博通Wi-Fi芯片易被OTA直接攻击
OTA001

谷歌旗下 Project Zero 安全研究人员发现了一个与博通(Broadcom)Wi-Fi 芯片有关、复杂且令人不快的 Bug 。鉴于 Broadcom 为 iPhone、Nexus、三星等公司的多款设备供应 Wi-Fi 芯片,这一漏...

目前有 1 条留言

  1. 爱是一个字 : 2017年10月22日14:49:43  1楼

    不使用 Wi-Fi 时关闭手机 WiFi 功能

给我留言

您必须 [ 登录 ] 才能发表留言!