你家的Wifi并不安全 安全漏洞可讓人盜取敏感信息

（原標(biāo)題：All wifi networks' are vulnerable to hacking, security expert discovers）

網(wǎng)易科技訊 10月17日消息，據(jù)研究人員稱，用于保護(hù)絕大部分Wifi連接的安全協(xié)議已經(jīng)被破解，這就有可能讓無線網(wǎng)絡(luò)連接遭到惡意竊聽或者攻擊。比利時(shí)天主教魯汶大學(xué)的一位安全專家Mathy Vanhoef在無線網(wǎng)絡(luò)安全協(xié)議WPA2中發(fā)現(xiàn)了這一漏洞。

Vanhoef在周一早晨的一份報(bào)告中稱：“攻擊者可以利用這一漏洞讀取之前被假定為安全加密的信息內(nèi)容。這一漏洞可能遭到濫用來盜取敏感信息，比如說信用卡號(hào)碼、密碼、聊天信息、郵件以及照片等等。”

Vanhoef強(qiáng)調(diào)稱，這種攻擊可能給現(xiàn)代所有受保護(hù)的Wifi網(wǎng)絡(luò)帶來威脅。根據(jù)網(wǎng)絡(luò)的配置，黑客也可能利用漏洞插入和操控?cái)?shù)據(jù)。比如說，黑客可以將勒索軟件和其它惡意軟件插入到用戶瀏覽的網(wǎng)站中。

Vanhoef的報(bào)告指出，這種漏洞能夠影響到許多操作系統(tǒng)和設(shè)備，其中就包含了安卓、Linux、Apple、Windows、OpenBSD、MediaTek和Linksys等系統(tǒng)。Vanhoef寫道：“如果你的手機(jī)支持Wifi連接，那么就最可能受到影響。通常來說，受害者傳輸?shù)娜魏螖?shù)據(jù)或者信息都能夠破譯。受害者接收到的信息也可能由于設(shè)備及網(wǎng)絡(luò)配置等因素遭到破解�！�

英國國家網(wǎng)絡(luò)安全中心在一份聲明中稱正在檢測Wifi網(wǎng)絡(luò)的漏洞。專家已經(jīng)開始對潛在的全球性Wifi系統(tǒng)漏洞進(jìn)行檢查。Vanhoef把這個(gè)漏洞稱作Krack，入侵者必須接近目標(biāo)才能利用漏洞，而銀行和在線商城等安全網(wǎng)站鏈接并未受到漏洞影響。

據(jù)英國國家網(wǎng)絡(luò)中心稱：“我們正在對這份報(bào)告進(jìn)行研究，而且如果有需要我們會(huì)提供引導(dǎo)。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全中心首先要考慮的事情，而且我們會(huì)不斷更新Wifi安全、設(shè)備管理以及瀏覽器安全相關(guān)問題的建議�！�

美國計(jì)算機(jī)應(yīng)急分隊(duì)針對這一漏洞在周日發(fā)出警告稱：“這種漏洞可能導(dǎo)致解密、數(shù)據(jù)包重放、TCP連接被劫持、HTTP內(nèi)容注入等問題。由于這種漏洞存在于協(xié)議本身，而不是特定的設(shè)備或者軟件，大多數(shù)或者所有正確的應(yīng)用標(biāo)準(zhǔn)都將受到影響�！�

這種攻擊趨勢是非常值得注意的，因?yàn)楸蝗肭值陌踩珔f(xié)議通常是加密Wifi連接的最安全方式。目前這種攻擊不太可能影響通過其它加密協(xié)議保護(hù)的網(wǎng)絡(luò)信息。這意味著訪問安全網(wǎng)站的連接仍然是安全的，其它像虛擬專用網(wǎng)和SSH通信的加密連接也是安全的。

專家稱，在這一漏洞被修復(fù)之前，訪問那些地址欄沒有鎖形圖表顯示的網(wǎng)站應(yīng)當(dāng)被認(rèn)為對于任何網(wǎng)絡(luò)用戶來說都是公開而且可見的。同樣家庭網(wǎng)連接也無法一直保證安全性。許多無線路由器很少升級，這意味著它們將繼續(xù)以不安全的方式通信。

Vanhoef稱，如果修復(fù)補(bǔ)丁安裝在手機(jī)或者計(jì)算機(jī)上，那么這些設(shè)備仍然將借助不安全的路由器通信。那意味著未升級路由器的用戶應(yīng)當(dāng)盡可能多的修復(fù)他們的設(shè)備，來確保其它網(wǎng)絡(luò)連接的安全性。

Iron訂閱服務(wù)的首席技術(shù)官員Alex Hudson稱：“重要的要保持冷靜。Wifi面臨的只是有限的實(shí)體安全，這種漏洞攻擊需要接近你的Wifi網(wǎng)絡(luò)，因此你不會(huì)突然遭受到網(wǎng)絡(luò)上任何人的攻擊。雖然你受到的保護(hù)很弱，但是危險(xiǎn)等級并沒有預(yù)期的那樣高。”

除此之外，你的網(wǎng)絡(luò)連接很可能沒有太多的依賴于WPA2。每一次當(dāng)你訪問一個(gè)網(wǎng)站時(shí)，你的瀏覽器會(huì)提供一個(gè)額外的加密保護(hù)。通過Wifi訪問安全網(wǎng)站現(xiàn)在仍然是安全的。因此你通過WPA2協(xié)議在網(wǎng)上泄漏的信息或許并不多，但是專家也無法做出保證。

根據(jù)WPA2協(xié)議使用程度的差異，不同的設(shè)備和操作系統(tǒng)受到的影響程度也將不同。安卓6.0和Linux系統(tǒng)遭受的最嚴(yán)重攻擊或?qū)��?dǎo)致加密密匙被重寫，與此同時(shí)，iOS和Windows系統(tǒng)具有一定的安全性，因?yàn)樗鼈儾⒉粫?huì)完全依賴于WPA2協(xié)議，因此會(huì)避開這一漏洞。但是專家認(rèn)為沒有設(shè)備和系統(tǒng)能夠完全不受漏洞的影響。

美國國際計(jì)算機(jī)應(yīng)急分隊(duì)在8月28日就通知了各大科技公司，因此大多數(shù)公司都在一個(gè)半月以前進(jìn)行了修復(fù)。英國《衛(wèi)報(bào)》的記者已經(jīng)詢問了蘋果、谷歌、微軟和Linksys等公司的補(bǔ)丁狀態(tài)。谷歌公司稱：“我們已經(jīng)意識(shí)到這一問題，而且我們將在未來數(shù)周內(nèi)為任何受到影響的設(shè)備提供補(bǔ)丁�！蔽④浌�司聲稱：“我們已經(jīng)公布了一項(xiàng)安全升級來應(yīng)對這一問題。進(jìn)行升級或者自動(dòng)更新的用戶將受到保護(hù)�！苯刂涟l(fā)稿時(shí)，其它公司尚未作出回復(fù)。（過客）