实时滚动新闻

Wi-Fi安全漏洞可能只是虚惊一场:专家说用户无需改密码

2017-10-19 11:29:17    澎湃新闻        点击:

  Wi-Fi(无线局域网)曝出的安全漏洞,可能只是虚惊一场。

  10月16日,国际著名漏洞知识库通用漏洞披露(CVE)发布消息称, 用于保护Wi-Fi安全的WPA/WPA2加密协议漏洞曝光,该漏洞名称为“密钥重装攻击”KRACK(Key Reinstallation Attacks),这几乎将影响全部计算机、手机和路由器等Wi-Fi设备,使黑客可以监听到通过接入WiFi网络设备进行的数据通信,窃取用户隐私;并可以劫持用户客户端到一个钓鱼热点上,实现流量劫持、篡改等。

  据CVE发布的消息,预计在北京时间10月16日晚上8时开始,这些漏洞细节会陆续公开,从CVE编号数量来看,公布的漏洞有10个之多。而WPA2加密协议被攻陷意味着,在用户家或办公室 Wi-Fi 物理覆盖范围内的攻击者,都可以破解加密协议并发动入侵,监听网络活动、拦截不安全或未加密的数据流。

  对此,360无线电安全研究院负责人杨卿向澎湃新闻解释,KRACK攻击简单来说,就是一种针对客户端的攻击方式,漏洞利用方法是攻击者根据合法WiFi伪造同名的钓鱼WiFi,并利用漏洞迫使无线客户端连接到钓鱼WiFi,这样攻击者就可以对无线客户端的网络流量进行篡改,抓取社交网站账号密码。

  “目前,该漏洞的利用代码并未公布,且漏洞属于范围性影响,需处在合法WiFi附近不超过100米的范围内才能实现攻击,再加上漏洞利用难度颇高,短时间内很难出现利用该漏洞的真实攻击。因此,用户不必过度恐慌。”他表示。

  据了解,漏洞发现者已经在7月将漏洞细节报告给厂商,10月2日,Linux的补丁已公布;10月10日,微软在Windows10操作系统中发布补丁;同一天,苹果也发布了安全公告,在最新的beta版iOS、macOS、tvOS和watchOS中修复了无线网络安全漏洞;谷歌方面则表示,将在近期给受影响设备打上补丁。

  杨卿表示,该漏洞风险处于可控范围,用户无需过分恐慌,也不用修改WiFi密码,及时更新所有使用WPA/WPA2无线认证客户端的软件版本就可有效防御。同时注意,在不使用WiFi时关闭手机WiFi功能,公共WiFi下不要登录有关支付、财产等账号、密码。如需登录、支付,将手机切换至数据流量网络。

  “该漏洞不能用于破解使用WPA/WPA2无线网络的密码,只会影响在使用WPA/WPA2认证的无线网络之下的无线客户端(如手机、智能设备)。所以用户根本无需修改密码,只要及时更新无线路由器、手机、智能硬件等所有使用WPA/WPA2无线认证客户端的软件版本,就可以避免遭遇攻击。另外,有条件的企业及个人请合理部署WIPS(无线入侵防御系统),及时监测合法WiFi区域内的恶意钓鱼WiFi,并加以阻断干扰,使其恶意WiFi无法正常工作。”他说。

相关新闻:

下一篇:最后一页
中国质量万里行 | 关于我们 | 联系我们 | 服务声明 | 人才招聘
Copyright © 2002 - 2015 京ICP备13012862号