參考消息網(wǎng)10月19日報道新媒稱����,新加坡電腦緊急反應(yīng)組發(fā)出安全通告說�����,全球WiFi行業(yè)協(xié)會的WPA2加密協(xié)議存在漏洞�,呼吁用戶盡快對本身的各種網(wǎng)絡(luò)設(shè)備安裝補丁。
據(jù)新加坡《聯(lián)合早報》網(wǎng)站10月18日報道����,全球通用的無線網(wǎng)絡(luò)(WiFi)加密機制發(fā)現(xiàn)嚴重安全漏洞����,使用WPA和WPA2加密協(xié)議來保護本身的WiFi網(wǎng)絡(luò)的用戶,因此面對受黑客攻擊的風險�����。
報道稱��,新加坡共有超過1100萬個使用或提供WiFi連接的網(wǎng)點��,包括住家、公司����、咖啡座和公共場所。任何能連接至WiFi的設(shè)備都可能受安全漏洞影響�����,包括智能手機��、電腦�、監(jiān)控攝像器、路由器等�����。
新加坡電腦緊急反應(yīng)組10月17日發(fā)出網(wǎng)絡(luò)安全通告說�,全球WiFi行業(yè)協(xié)會WiFi聯(lián)盟為加強常用無線網(wǎng)絡(luò)而研發(fā)的WPA2加密協(xié)議,存在“密鑰重裝攻擊”的漏洞���。
報道稱���,不法之徒可利用這些漏洞對個別設(shè)備展開“中間人”攻擊,監(jiān)控WPA和WPA2用戶的網(wǎng)絡(luò)流量,或加以操控��。
報道稱��,用戶連接至WiFi時���,雙方一般通過稱為“四次握手”的驗證方式辨別彼此身份�。但在KRACK攻擊中�,黑客冒充WiFi網(wǎng)絡(luò),用仿造網(wǎng)絡(luò)向用戶端重新傳輸“四次握手”中的第三次信號��,迫使用戶端重用隨機數(shù)�����,把已知的密鑰騙到手���。
這使得原本連接至真實網(wǎng)絡(luò)的設(shè)備錯誤連接至仿造網(wǎng)絡(luò),黑客也能用騙取到的密鑰截取往來WiFi網(wǎng)絡(luò)和用戶的數(shù)據(jù)并解碼���。
由于這次是WiFi標準本身出現(xiàn)漏洞�,為路由器或其他上網(wǎng)終端更換密碼等應(yīng)急方法是無用的�。所幸的是,黑客要利用這個漏洞進行攻擊或竊取資料也不是那么容易。
根據(jù)科技網(wǎng)站“The Verge”的介紹��,黑客要施行攻擊需要先進行大量的準備�,才能做具針對性的攻擊。而美國國土安全部的電腦緊急反應(yīng)組也指出��,不法分子必須能接觸到個人的WiFi無線網(wǎng)絡(luò)才能利用漏洞�。
報道稱,最先于本月16日發(fā)現(xiàn)KRACK的比利時魯汶大學研究人員說����,不法分子可利用漏洞來“讀取此前被認為獲得安全加密的信息”,從而竊取敏感資料如信用卡號�����、密碼�、聊天短信、電郵�����、照片等���,也能用來在網(wǎng)站植入勒索軟件等惡意程序���。
報道稱���,這類攻擊可以侵入現(xiàn)代所有受到保護的WiFi網(wǎng)絡(luò),搭載任何操作系統(tǒng)的設(shè)備都可能受到影響��,包括41%的安卓設(shè)備���。
WiFi聯(lián)盟表示�����,目前沒有證據(jù)顯示這個漏洞遭到了惡意利用�����,聯(lián)盟也已立刻采取行動�,“確保WiFi用戶可以繼續(xù)獲得強大的安全保護”���。
報道稱,除了新加坡�����,美國、新西蘭���、印度等國政府與安全研究人員10月16日也相繼發(fā)出警告�。
美國國土安全部屬下電腦應(yīng)急反應(yīng)小組10月16日發(fā)布安全公告說��,黑客能夠利用KRACK漏洞竊聽私人通訊��,并呼吁使用受影響設(shè)備的用戶安裝廠商提供的安全補丁���。新西蘭和印度政府也發(fā)出類似警告����。
芬蘭電腦安全公司F-Secure建議�����,WiFi用戶可使用虛擬私人網(wǎng)絡(luò)(VPN)���,并更新路由器���、電腦、手機等所有電子設(shè)備的軟件與操作系統(tǒng)����,以降低風險���。
另據(jù)新加坡《聯(lián)合早報》網(wǎng)站10月17日報道,專家最近在受到廣泛使用的Wi-Fi加密協(xié)議上發(fā)現(xiàn)新的漏洞���,可能導致數(shù)以百萬計的使用者容易遭受攻擊��,包括41%的Android裝置�����,美國政府與安全研究人員10月16日就此向全球發(fā)出警告���。
美國國土安全部的電腦緊急應(yīng)變小組發(fā)布安全公告指出,黑客可能利用這個漏洞���,竊聽或劫持使用無線網(wǎng)絡(luò)的裝置���。
該小組說:“攻擊者可利用這些弱點控制所入侵的系統(tǒng)?!?/p>
報道稱,這一漏洞是由比利時魯汶大學電腦科學家發(fā)現(xiàn)的���,他們稱之為“密鑰重裝攻擊”(Key Reinstallation Attack�����,簡稱KRACK)��。
該大學研究員范赫夫說��,攻擊者可以利用加密協(xié)議WPA2的弱點���,“讀取先前假設(shè)是安全加密的資訊”。
他指出:“這可以用來竊取敏感資訊如信用卡號碼����、密碼、聊天訊息�����、電子郵件�����、照片等等�。這類攻擊可以入侵現(xiàn)代所有受到保護的Wi-Fi網(wǎng)絡(luò)�����?��!?/p>
比利時研究員在論文中說,所有搭載作業(yè)系統(tǒng)的裝置都可能受到KRACK攻擊���,包括41%的Android裝置����。
研究員表示����,這個新發(fā)現(xiàn)的安全漏洞很嚴重,因為Wi-Fi無所不在�,而要修補數(shù)以百萬計無線系統(tǒng)也有難度。
