據外媒報道,用于保護WiFi安全的WPA/WPA2加密協議漏洞曝光,該漏洞名稱為“密鑰重裝攻擊”KRACK(Key Reinstallation Attacks),幾乎影響全部計算機、手機和路由器等WiFi設備,使黑客可以監聽到通過接入WiFi網絡設備進行的數據通信,竊取用戶隱私;并可以劫持用戶客戶端到一個釣魚熱點上,實現流量劫持、篡改等。
對此,網易科技詢問了相關安全專家。360安全中心表示,無需過分恐慌,該漏洞不能用于破解使用WPA/WPA2無線網絡的密碼,只會影響在使用WPA/WPA2認證的無線網絡之下的無線客戶端(如手機、智能設備)。所以用戶根本無需修改密碼,只要及時更新無線路由器、手機、智能硬件等所有使用WPA/WPA2無線認證客戶端的軟件版本,就可以避免遭遇攻擊。
據了解,KRACK攻擊就是一種針對客戶端的攻擊方式,漏洞利用方法是攻擊者根據合法WiFi偽造同名的釣魚WiFi,并利用漏洞迫使無線客戶端連接到釣魚WiFi,這樣攻擊者就可以對無線客戶端的網絡流量進行篡改,抓取社交網站賬號密碼。
目前,該漏洞的利用代碼并未公布,且漏洞屬于范圍性影響,需處在合法WiFi附近不超過100米的范圍內才能實現攻擊,再加上漏洞利用難度頗高,短時間內很難出現利用該漏洞的真實攻擊。
在該漏洞細節曝光之后,Linux、微軟、蘋果相繼都發布了補丁。蘋果在最新的beta版IOS、macOS、tvOS和watchOS中修復了無線網絡安全漏洞;谷歌表示將在近期給受影響設備打上補丁。
