参考消息网10月19日报道新媒称,新加坡电脑紧急反应组发出安全通告说,全球WiFi行业协会的WPA2加密协议存在漏洞,呼吁用户尽快对本身的各种网络设备安装补丁。
据新加坡《联合早报》网站10月18日报道,全球通用的无线网络(WiFi)加密机制发现严重安全漏洞,使用WPA和WPA2加密协议来保护本身的WiFi网络的用户,因此面对受黑客攻击的风险。
报道称,新加坡共有超过1100万个使用或提供WiFi连接的网点,包括住家、公司、咖啡座和公共场所。任何能连接至WiFi的设备都可能受安全漏洞影响,包括智能手机、电脑、监控摄像器、路由器等。
新加坡电脑紧急反应组10月17日发出网络安全通告说,全球WiFi行业协会WiFi联盟为加强常用无线网络而研发的WPA2加密协议,存在“密钥重装攻击”的漏洞。
报道称,不法之徒可利用这些漏洞对个别设备展开“中间人”攻击,监控WPA和WPA2用户的网络流量,或加以操控。
报道称,用户连接至WiFi时,双方一般通过称为“四次握手”的验证方式辨别彼此身份。但在KRACK攻击中,黑客冒充WiFi网络,用仿造网络向用户端重新传输“四次握手”中的第三次信号,迫使用户端重用随机数,把已知的密钥骗到手。
这使得原本连接至真实网络的设备错误连接至仿造网络,黑客也能用骗取到的密钥截取往来WiFi网络和用户的数据并解码。
由于这次是WiFi标准本身出现漏洞,为路由器或其他上网终端更换密码等应急方法是无用的。所幸的是,黑客要利用这个漏洞进行攻击或窃取资料也不是那么容易。
根据科技网站“The Verge”的介绍,黑客要施行攻击需要先进行大量的准备,才能做具针对性的攻击。而美国国土安全部的电脑紧急反应组也指出,不法分子必须能接触到个人的WiFi无线网络才能利用漏洞。
报道称,最先于本月16日发现KRACK的比利时鲁汶大学研究人员说,不法分子可利用漏洞来“读取此前被认为获得安全加密的信息”,从而窃取敏感资料如信用卡号、密码、聊天短信、电邮、照片等,也能用来在网站植入勒索软件等恶意程序。
报道称,这类攻击可以侵入现代所有受到保护的WiFi网络,搭载任何操作系统的设备都可能受到影响,包括41%的安卓设备。
WiFi联盟表示,目前没有证据显示这个漏洞遭到了恶意利用,联盟也已立刻采取行动,“确保WiFi用户可以继续获得强大的安全保护”。