你家的Wifi并不安全 安全漏洞可讓人盜取敏感信息

（原標題：All wifi networks' are vulnerable to hacking, security expert discovers）

網(wǎng)易科技訊 10月17日消息，據(jù)研究人員稱，用于保護絕大部分Wifi連接的安全協(xié)議已經(jīng)被破解，這就有可能讓無線網(wǎng)絡連接遭到惡意竊聽或者攻擊。比利時天主教魯汶大學的一位安全專家Mathy Vanhoef在無線網(wǎng)絡安全協(xié)議WPA2中發(fā)現(xiàn)了這一漏洞。

Vanhoef在周一早晨的一份報告中稱：“攻擊者可以利用這一漏洞讀取之前被假定為安全加密的信息內(nèi)容。這一漏洞可能遭到濫用來盜取敏感信息，比如說信用卡號碼、密碼、聊天信息、郵件以及照片等等�！�

Vanhoef強調(diào)稱，這種攻擊可能給現(xiàn)代所有受保護的Wifi網(wǎng)絡帶來威脅。根據(jù)網(wǎng)絡的配置，黑客也可能利用漏洞插入和操控數(shù)據(jù)。比如說，黑客可以將勒索軟件和其它惡意軟件插入到用戶瀏覽的網(wǎng)站中。

Vanhoef的報告指出，這種漏洞能夠影響到許多操作系統(tǒng)和設備，其中就包含了安卓、Linux、Apple、Windows、OpenBSD、MediaTek和Linksys等系統(tǒng)。Vanhoef寫道：“如果你的手機支持Wifi連接，那么就最可能受到影響。通常來說，受害者傳輸?shù)娜魏螖?shù)據(jù)或者信息都能夠破譯。受害者接收到的信息也可能由于設備及網(wǎng)絡配置等因素遭到破解。”

英國國家網(wǎng)絡安全中心在一份聲明中稱正在檢測Wifi網(wǎng)絡的漏洞。專家已經(jīng)開始對潛在的全球性Wifi系統(tǒng)漏洞進行檢查。Vanhoef把這個漏洞稱作Krack，入侵者必須接近目標才能利用漏洞，而銀行和在線商城等安全網(wǎng)站鏈接并未受到漏洞影響。

據(jù)英國國家網(wǎng)絡中心稱：“我們正在對這份報告進行研究，而且如果有需要我們會提供引導。網(wǎng)絡安全是網(wǎng)絡安全中心首先要考慮的事情，而且我們會不斷更新Wifi安全、設備管理以及瀏覽器安全相關問題的建議�！�

美國計算機應急分隊針對這一漏洞在周日發(fā)出警告稱：“這種漏洞可能導致解密、數(shù)據(jù)包重放、TCP連接被劫持、HTTP內(nèi)容注入等問題。由于這種漏洞存在于協(xié)議本身，而不是特定的設備或者軟件，大多數(shù)或者所有正確的應用標準都將受到影響�！�

這種攻擊趨勢是非常值得注意的，因為被入侵的安全協(xié)議通常是加密Wifi連接的最安全方式。目前這種攻擊不太可能影響通過其它加密協(xié)議保護的網(wǎng)絡信息。這意味著訪問安全網(wǎng)站的連接仍然是安全的，其它像虛擬專用網(wǎng)和SSH通信的加密連接也是安全的。

專家稱，在這一漏洞被修復之前，訪問那些地址欄沒有鎖形圖表顯示的網(wǎng)站應當被認為對于任何網(wǎng)絡用戶來說都是公開而且可見的。同樣家庭網(wǎng)連接也無法一直保證安全性。許多無線路由器很少升級，這意味著它們將繼續(xù)以不安全的方式通信。

Vanhoef稱，如果修復補丁安裝在手機或者計算機上，那么這些設備仍然將借助不安全的路由器通信。那意味著未升級路由器的用戶應當盡可能多的修復他們的設備，來確保其它網(wǎng)絡連接的安全性。

Iron訂閱服務的首席技術官員Alex Hudson稱：“重要的要保持冷靜。Wifi面臨的只是有限的實體安全，這種漏洞攻擊需要接近你的Wifi網(wǎng)絡，因此你不會突然遭受到網(wǎng)絡上任何人的攻擊。雖然你受到的保護很弱，但是危險等級并沒有預期的那樣高�！�

除此之外，你的網(wǎng)絡連接很可能沒有太多的依賴于WPA2。每一次當你訪問一個網(wǎng)站時，你的瀏覽器會提供一個額外的加密保護。通過Wifi訪問安全網(wǎng)站現(xiàn)在仍然是安全的。因此你通過WPA2協(xié)議在網(wǎng)上泄漏的信息或許并不多，但是專家也無法做出保證。

根據(jù)WPA2協(xié)議使用程度的差異，不同的設備和操作系統(tǒng)受到的影響程度也將不同。安卓6.0和Linux系統(tǒng)遭受的最嚴重攻擊或?qū)�導致加密密匙被重寫，與此同時，iOS和Windows系統(tǒng)具有一定的安全性，因為它們并不會完全依賴于WPA2協(xié)議，因此會避開這一漏洞。但是專家認為沒有設備和系統(tǒng)能夠完全不受漏洞的影響。

美國國際計算機應急分隊在8月28日就通知了各大科技公司，因此大多數(shù)公司都在一個半月以前進行了修復。英國《衛(wèi)報》的記者已經(jīng)詢問了蘋果、谷歌、微軟和Linksys等公司的補丁狀態(tài)。谷歌公司稱：“我們已經(jīng)意識到這一問題，而且我們將在未來數(shù)周內(nèi)為任何受到影響的設備提供補丁。”微軟公司聲稱：“我們已經(jīng)公布了一項安全升級來應對這一問題。進行升級或者自動更新的用戶將受到保護。”截至發(fā)稿時，其它公司尚未作出回復。（過客）