更多

    WPA2 爆 KRACKs 漏洞危害所有 Wi-Fi 裝置

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    已經成為生活不可或缺的 Wi-Fi 最近發現名為 KRACKs 的保安漏洞,危及絕大部分 Wi-Fi 裝置的安全。據知 Microsoft 經已在 10 月 10 日推出的更新中修正有關漏洞,但 Apple 相關的 OS 和 Android 就要在數星期內才有更新推出。

    今次發現的 WPA2 漏洞屬協定層級的漏洞,所以幾乎所有裝置,包括無線路由器、電腦、手機以至有 Wi-Fi 的智能手錶都遭殃。
    今次發現的 WPA2 漏洞屬協定層級的漏洞,所以幾乎所有裝置,包括無線路由器、電腦、手機以至有 Wi-Fi 的智能手錶都遭殃。

    據在比利時荷蘭語天主教魯汶大學研究網絡安全的 Mathy Vanhoef 指出,在負責管理 Wi-Fi 加密的 WPA2 保安協定裡發現幾個漏洞,他以 KRACKs (金鑰重裝攻擊, Key Reinstallation Attacks )為代號,指出駭客可以利用這種攻擊來入侵網絡。在歐洲黑帽子大會的網站上已披露了有關漏洞的簡介,並會在今年 12 月舉行的大會上作簡介。
    [row][double_paragraph]
    Mathy Vanhoef 開設了網站說明這次發現的 WPA2 漏洞
    Mathy Vanhoef 開設了網站說明這次發現的 WPA2 漏洞

    [/double_paragraph][double_paragraph]
    專門討論入侵與保安技術的歐洲黑帽子大會將會就這次發現的漏洞進行簡介會
    專門討論入侵與保安技術的歐洲黑帽子大會將會就這次發現的漏洞進行簡介會

    [/double_paragraph] [/row]
    本來 WPA2 是被視為保安程度較高的 Wi-Fi 加密機制,現在 WPA2 被破解,代表駭客可以在沒有密碼的情況下輕易連接 Wi-Fi AP ,入侵區域網絡內部的 PC 、 手機以至 IoT 機器。由於這是協定層級的漏洞,所以不論你有沒有做足防範措施和更新,使用個人或企業 WPA2,同樣會受到影響。
    幸好的是現時被發現漏洞的是用來管理加密鍵的 WPA2 協定,而不是用來進行加密的 AES 演算法。而暫時仍未有證據證明這個漏洞已被駭客利用。 Mathy Vanhoef 在說明這個漏洞的網站上指出應付這次漏洞的幾點:

    • 應更新所有裝置;
    • 沒有必要改變 Wi-Fi 密碼;
    • 由於這漏洞只針對「 4 路握手( 4-way handshake )」流程,部分路由器或許不需要作保安更新,詳情應向生產商查詢;
    • 不應該因為未有更新檔推出而暫時轉用 WEP 加密,應該繼續使用 WPA2 ,因為它仍是現時最安全的 Wi-Fi 保安協定;

    而香港電腦保安事故協調中心就加入了以下解決方案:

    • 使用 SSL/TLS 來加密敏感資料。有需要時使用 VPN 方案作資料傳輸;
    • 切勿使用公共 Wi-Fi 處理敏感資料;
    • 考慮使用有線網絡或流動數據;

    香港電腦保安事故協調中心亦已就這次漏洞提供解決的建議
    香港電腦保安事故協調中心亦已就這次漏洞提供解決的建議

    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決,而各大廠商已陸續推出相關的靭體更新。大家要注意這個漏洞是雙方向的,所以除了要更新 Wi-Fi 路由器的靭體之外,電腦和手機的 OS 也要進行更新。問題是商場餐廳或公共交通工具等公共 Wi-Fi 會不會做有關更新就不得而知。
    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決。
    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決。

    據知 Microsoft 已經在 10 月 10 日推出的更新中修訂了有關漏洞,而 Apple 旗下的多個 OS : iOS 、 tvOS 、 watchOS 、 macOS 的更新都已經進入 Beta 階段,正式版預計在數星期內推出,而他們出品的 AirPort 系列無線路由器和 Time Capsule 就不受今次漏洞影響。而 Google 方面就表示會在數星期內為所有受影響平台推出修正檔,而 Pixel 手機就會在 11 月 6 日推出的每月更新中修訂有關問題。
    [row][double_paragraph]
    Windows 的 10 月份更新除了修訂這次 WPA2 漏洞外,還包括 27 項緊急保安修訂,用戶應該立即更新。
    Windows 的 10 月份更新除了修訂這次 WPA2 漏洞外,還包括 27 項緊急保安修訂,用戶應該立即更新。

    [/double_paragraph][double_paragraph]
    各大廠商都會陸續推出修訂檔
    各大廠商都會陸續推出修訂檔

    [/double_paragraph] [/row]

    您會感興趣的內容

    相關文章