无处不在的 Wi-Fi 为现代人的生活工作提供了极大的便利,但是最新曝光的 WPA2 加密协议被破解和“重装密钥攻击”(KRACK)却给我们投下了很深的阴影。比利时研究人员 Mathy Vanhoef 披露并演示了 WPA2“KRACK”攻击背后的代码,在全球几乎巨量无线网络设备躺枪、且暂时没有更新修复的情况下,这意味着 Wi-Fi 物理覆盖范围内的黑客们可以随时向脆弱的网络发起攻击,监听、窃取敏感数据(比如账号 / 密码)、甚至篡改网络数据和植入恶意软件。
(1)如何发生?
据 Mathy Vanhoef 所述,这个问题几乎影响所有启用了 WPA2 加密协议的无线网络设备,包括笔记本电脑、手机、以及智能家居设备。
(2)“KRACK”是什么意思?
其是‘密钥重装攻击’(Key Reinstallation Attack)的缩写,黑客可借此侵入并监测你的所有互联网流量。
在建立网络连接之前,它会要求一台设备重复发送表明其身份的敏感信息。(PS:苹果已在 beta 版系统更新中修复、微软也在上周推送了补丁)
(3)听起来很糟糕?
好消息是,黑客必须在 Wi-Fi 信号的物理覆盖范围内发动攻击。坏消息是,该攻击可在附近的任何东西上运行,你的设备很容易受到攻击。
(4)攻击者是否需要物理或亲自访问网络,还是可以远程操作?
本例中,攻击者必须靠近目标设备才能发动攻击,这会显著减少单个黑客可以同时执行的攻击数。
然而当前的情况是漏洞普遍存在,因此任何人都该假定他们的所有设备都是脆弱和受到波及的。
(5)最佳的防护措施是?
首先,在设备补丁可用的时候,请第一时间安装部署。其次,如果没有启用自动更新,也记得手动刷路由器固件补丁。
(6)能否简单地通过变更 Wi-Fi 密码来避免?
这只能说是另一种加强防护的措施,但是无法从根本上杜绝 KRACK 攻击,因为两者有些风马牛不相及,该升级的系统和固件还是一个都不能少。
(7)各大公司何时开始打补丁?
启用了自动更新的 Windows 用户,可在部署上周发布的‘星期二补丁’后得到保护。
苹果已经在 beta 版系统中为 iOS、macOS、watchOS、tvOS 打上了补丁,但当前仅面向开发者放出,普通用户还得再等几周。
Google 表示已意识到这个问题,将在几周后发布修复补丁,此外亚马逊也正在深入。
路由器制造商中,Linksys 和 Netgear 均表示已获知,后者则已经开始放出补丁。
(8)我该直接买个新的路由器吗?
不一定,除非是已经失去了厂家支持的特别老的设备,新设备都是可以通过刷新固件来打上补丁的。
Wi-Fi 联盟已经要求制造商们检查其新款路由设备不再容易受到 KRACK 攻击,但已经上架的路由器尚未被检查过。
除了路由器,更新手机、计算机和其它 Wi-Fi 联网设备的软件系统也都是很重要的。
(9)其他人未打补丁的设备会让我不安全吗?
即便你已经给自己的 Android 手机和家庭路由器打上了补丁,仍可能在连接至一台未打补丁的路由器时存有隐患。
略让人松一口气的是,Vanhoef 表示路由器比手机和其它无线设备更难被攻击。就目前来说,最安全的做法就是尽量避免在手机上使用无线网络。
(10)公共 Wi-Fi 的情况又如何?
公共 Wi-Fi 的安全性一直很糟糕,你经常去逛的咖啡馆等地方,无线网络数据基本都是完全没有加密的。
所以攻击者可以更容易地在附近发起攻击,只需借助廉价的设备,就可以监听互联网流量。
不过 KRACK 的危险性在于,它可以让 WPA2 加密的网络也变得像公共 Wi-Fi 那样不安全。
KRACK in Wi-Fi security What you need to know - CNET
(11)关闭手机 Wi-Fi 可提供保护,那么手机蜂窝网络是否安全?
手机蜂窝网络并未受到 KRACK 的影响,所以关闭 Wi-Fi 并使用数据流量是可以确保安全的。对于未打补丁的 Android 设备来说,关掉 Wi-Fi 就行。
至于运行 iOS 11 的 iPhone 和 iPad,则需要到设备设置里面操作一番。(在‘控制中心’里关闭 Wi-Fi,并不表示已经彻底关闭它)
(12)“安全超文本传输协议”是否也存在风险?
许多启用了‘安全超文本传输协议’的网站是安全,这相当于给互联网流量加了一层保护。
KRACK 攻击本身不会破坏加密,但如果网站配置不当,还是有可能被绕过这一安全措施。
(13)能否通过虚拟专用网来加强对自己的保护?
虚拟专用网可以加密设备与互联网之间的所有数据,但这是一项额外的服务,通常用于外出不在办公室时,连接至工作场所的网络。
你的所有数据都可以通过隧道来传输,攻击者无法窃听,但不是所有虚拟专用网都一样强力,你需要挑选一个适合自己的。
[编译自:Cnet]