10月17日上午7点,WiFi被曝光存在重大安全漏洞。该漏洞名为“KRACK”,也就是“Key Reinstallation Attack(密钥重安装攻击)的缩写”,它是基于WPA2保密协议,所以涉及范围非常广,几乎影响全部计算机、手机和路由器等Wi-Fi设备,使黑客可以监听到通过接入WiFi网络设备进行的数据通信,窃取用户隐私;并可以劫持用户客户端到一个钓鱼热点上,实现流量劫持、篡改等。
360手机卫士官方第一时间发布预警信息,提醒广大用户不要惊慌,用户只需及时更新无线路由器、手机、智能硬件等所有使用WPA2无线认证客户端的软件版本,不用修改密码即可避免受到KRACK攻击。
根据360安全专家的解释,KRACK漏洞不能用于破解使用WPA2无线网络的密码,只是会影响在使用WPA2认证的无线网络下对应连接的无线客户端(如手机、智能设备等) ,所以造成该漏洞的关键环节就出现在无线协议的WPA2认证过程中。形象来说,攻击者根据合法WiFi伪造同名的钓鱼WiFi,并利用漏洞迫使无线客户端连接到钓鱼WiFi,这样攻击者就可以对无线客户端的网络流量进行逆行分析甚至进行中间人攻击,轻松盗取用户的银行卡账号、密码、聊天信息、照片、电子邮件以及在线通讯工具内容等重要信息。
不过目前比较乐观的是,该漏洞利用的代码并未公布。同时,该漏洞受范围性影响,需处在合法wifi附近不超过100米的范围,再加上漏洞利用难度颇高,短时间内很难出现利用该漏洞的真实攻击。360安全专家提醒用户不必惊慌,可通过以下几步做好防范。
个人用户
1. 减少不必要的WiFi开启时间,尽量选择使用4G流量。同时,不要随意连接公共场合的不明Wi-Fi,以免造成不必要的损失。
2. 关注手机、电脑以及路由器等使用WiFi的终端设备厂商固件升级信息,及时更新所有使用WPA2无线认证客户端设备的软件版本。
企业用户
1.有条件的企业请合理部署WIPS,及时监测合法WiFi区域内的恶意钓鱼WiFi,并加以阻断干扰,使其无法正常工作。
2.无线通信连接使用VPN加密隧道及强制SSL规避流量劫持与中间人攻击造成的信息泄漏。
3.国标WAPI无线认证暂不受该漏洞影响。
实际上,除了技术漏洞,钓鱼WiFi还潜藏在餐馆、电影院、健身房等公共场所的免费WiFi中,用户连接这些免费WiFi很容易中枪。一些黑客甚至搭设了银行、证券公司、国家机关等同名WiFi,用户因为相信这些机构而轻易连接,造成手机银行账号密码、照片、视频等各种隐私信息被盗。其实,不法分子要架设一个钓鱼WiFi,从技术上没有任何难度,而在监管方面,WiFi目前所使用的频段是免费频段,使用时无需向国家申报,对WiFi的监管是事后监管,因此用户必须提高警惕,防止误连钓鱼WiFi。
KRACK漏洞再次让无线网络安全警钟长鸣,360手机卫士特别提醒,在钓鱼WiFi的威胁下,手机用户一定要提高警惕,及时根据360手机卫士官方微博最新通知,更新相应软件版本。用户使用手机进行网银、支付宝等涉财务操作时,最好通过360手机卫士对支付环境进行检测,远离钓鱼WiFi威胁,确保手机安全。