量子哈希
最近,比利时鲁汶大学的研究人员Mathy Vanhoef公开了一项关于WPA2/WPA安全性的研究。这项研究揭示了一个名为KRACK的重大漏洞,该漏洞存在于WiFi的保护协议中,对全球所有WiFi用户构成了威胁。KRACK(Key Reinstallation AttaCKs)是基于WPA2/WPA保护协议本身的缺陷。目前,除了禁用WiFi之外,还没有有效的防护方案来解决这个问题。WPA2/WPA是目前全球应用最广泛的WiFi数据保密协议。根据WPA2/WPA的原始设计,每个密钥只能使用一次。然而,安全研究人员发现,通过操纵重放加密握手消息,攻击者可以使已有密钥被重复使用。这样一来,攻击者就可以获得一个万能密钥,利用它来攻破WPA2协议,窃听WiFi通信数据,破译网络流量,劫持链接,甚至将恶意内容注入流量中。KRACK漏洞的可怕之处在于,它不仅仅是某个特定WiFi设备的问题,也不是通过更改密码就能解决的问题。它是安全保护机制本身存在的缺陷,几乎所有的WiFi设备都会受到影响,包括微软、安卓、苹果和基于Linux开发的设备。
需要注意的是,KRACK攻击并不会对WiFi设备本身造成影响。攻击者可以绕过登录系统直接截取通信数据。换句话说,KRACK攻击者无需知道你的密码,只要靠近WiFi设备,就可以通过KRACK攻击来获取或篡改你的WiFi通信内容。KRACK攻击使WiFi无线网络处于易受攻击的状态,黑客有可能窃取信用卡交易信息、密码、聊天记录、照片、电子邮件等敏感信息。然而,在Vanhoef的论文中指出,尽管KRACK攻击可以获取通信数据,但使用其他技术进行加密的数据在通信过程中不会被曝露,例如那些基于网络的加密技术来保护许多网站的内容。
各个系统厂商的回应如下:Windows 10已在10月的补丁中修复了KRACK漏洞;苹果已在最新的beta版中进行了修复;谷歌表示已经意识到该问题的存在,并将在未来几周内为受影响的设备提供补丁。虽然更改密码是无效的,但用户仍然可以采取以下措施来降低安全风险:及时升级联网设备的固件,包括系统补丁和WiFi固件;在公共场所尽量使用4G网络而不是WiFi,特别是要避免使用公共WiFi;对重要数据进行加密处理,例如使用商务密邮对邮件内容进行加密。
