16日晚,据外媒报道,用于保护WiFi安全的WPA/WPA2加密协议中的一个漏洞被曝光。
该漏洞的名称为“密钥重装攻击”KRACK(密钥重装攻击),影响几乎所有电脑、手机、路由器等WiFi设备,允许黑客通过连接WiFi网络的设备监控数据通信,窃取用户隐私;并可将用户客户端劫持至钓鱼热点,实现流量劫持、篡改等。
安全中心对该漏洞进行紧急分析后,提醒用户无需恐慌。
该漏洞无法用于破解使用WPA/WPA2无线网络的密码。
它只会影响无线网络下使用WPA/WPA2身份验证的无线客户端(例如手机、智能设备)。
因此,用户根本不需要更改密码。
只要及时更新使用WPA/WPA2无线认证客户端的无线路由器、手机、智能硬件等的软件版本,就可以避免受到攻击。
KRACK攻击简单来说就是针对客户端的一种攻击方式。
利用该漏洞的方法是攻击者在合法WiFi的基础上伪造同名的钓鱼WiFi,利用该漏洞强制无线客户端连接到钓鱼WiFi,从而使攻击者能够针对无线客户端。
篡改网络流量并捕获社交网站帐户密码。
目前该漏洞的利用代码尚未发布,该漏洞具有范围影响。
攻击需要在合法WiFi附近不超过1米的范围内。
另外,该漏洞的利用难度非常大,短时间内很难被利用。
针对此漏洞的现实攻击。
据了解,漏洞发现者于7月份向制造商报告了该漏洞的详细信息。
10月2日,Linux补丁发布; 10月10日,微软发布了Windows 10操作系统的补丁;同一天,苹果还发布了安全补丁,公告称,iOS、macOS、tvOS和watchOS最新测试版中无线网络安全漏洞已得到修复;谷歌表示将在不久的将来修补受影响的设备。
无线电安全研究所所长杨庆表示,该漏洞的风险在可控范围内。
用户无需过度恐慌或更改WiFi密码。
他们可以通过及时更新使用WPA/WPA2无线认证客户端的所有软件版本来有效地保护自己。
同时请注意,不使用WiFi时,请关闭手机WiFi功能,不要在公共WiFi下登录支付、财产等相关账户和密码;如需登录支付,请将手机切换至数据流量网络。