重大資安漏洞!英國媒體報導:全球所有 Wifi 都可能被駭了

相信現在非常多的人都有在自家或是公司,甚至是公共場合使用 Wi-Fi 網路的經驗,但是你使用的 Wi-Fi 真的安全嗎?這幾天一項新的安全資訊,比較注重安全的人恐怕得注意了。

Wi-Fi 加密協定 WPA2 遭攻破,全球幾乎無一倖免

一般來說,當我們使用 Wi-Fi 無線網路的時候,發出網路的基地台與接收網路的裝置之間,會採用一種簡稱為 WPA(Wi-Fi Protected Access)的加密協定,避免有心人士從中攔截你的裝置與基地台之間的通訊信號,進而竊取隱私。

由於早期使用的 WPA 協定在啟用一段時間之後便被破解,因此後來業界開始採用俗稱 WPA2 的新一代 WPA 協定,WPA2 長期以來因為它的安全性保障,逐漸的被大眾所使用,目前世界上大部分的 Wi-Fi 基地台通訊都是採用 WPA2 的加密協定。

白話文解釋,就像是你與基地台之間有位郵差在送信,沒有使用 WPA2 之前,任何有心人士都可以攔截這位郵差,並且看到你與基地台的信件內容,而 WPA2 就像是把信件放在保險箱後再給郵差運送,攔截的人因為打不開保險箱,因此無法得知你與基地台的通信內容。

根據 ezone 報導 ,來自比利時魯汶大學博士後研究員 Mathy Vanhoef,發現了名為 Key Reinstallation Attacks(KRACKs)的 WPA2 破解方法,藉由這種方法,駭客可以破解 WPA2 加密協定,進而讀取通信內容。

這樣的破解方法一旦應用了,駭客便有機會藉由這個管道竊取使用者在使用網路時傳送的所有資訊,包含可能的信用卡資料、個人資料的完整內容(身分證字號、地址、電話等)、曾經造訪的網站記錄。

駭客也能藉由同樣的破解手法,在通信的過程中「加料」,植入病毒並嘗試操控受害電腦,或是藉此將利用無線網路連結的物聯網裝置內置入病毒,將其變為「殭屍網路」的一環。

根據 中央社引述多家外國媒體報導 ,由於這項發現過於驚人,怕遭到有心人士利用,因此相關消息對外封鎖了好幾週,以讓 Wi-Fi 系統研發出安全的補救措施。這項發現一直到昨日(10 月 16 日)才由美國電腦緊急反應小組(Computer Emergency Response Team,CERT)公開,並發出警告。

目前情況分析

這項漏洞目前已知對幾乎所有的 Wi-Fi 基地台都適用,不過現階段只有安裝了 Android 和 Linux 作業系統的裝置會受到影響,因為這次發現的 KRACKs 攻擊漏洞是利用這些系統的特性與漏洞來繞過相關的加密協定。

另外暫時可以慶幸的是,根據 T 客邦的報導 ,由於駭客經由這個破解方法能破解的只有 WPA2 協定本身,因此若是你使用的連線管道本身另外具備加密協定(像是 HTTPS 加密協定,或是某些通訊軟體會採用的 P2P 加密協定等),即使駭客取得了相關的內容,仍然無法窺探其中的資訊。

除此之外,由於這項破解方法的特性,要使用此攻擊的駭客必須待在與受攻擊的無線網路相同的網路涵蓋範圍之下,現階段尚無法進行真正的遠端攻擊。

但就算是如此,駭客還是可以取得所有未經加密的管道所傳輸的資訊(像是一般無 HTTPS 加密的網頁、未經加密的訊息傳輸如 PTT 使用等),或是無須判讀內容的資訊(例如與哪些 IP 連線),且由於 WPA2 的破解,駭客可以在傳輸過程中加入惡意代碼,所有的使用者仍應注意相關的危險性。

盡快更新、使用加密傳輸、利用有線網路或手機網路

至於目前要怎麼防範這樣的攻擊?根據 科技網站《TechCrunch》的報導 ,研究人員建議使用者應先盡快更新手上透過無線網路連接至網路的各項裝置,並查詢所使用的 Wi-Fi 無線基地台是否釋出更新。

在相關的漏洞被更新修補之前,研究人員建議,使用有線網路連接,並且在情況許可時關閉無線網路或 Wi-Fi 無線基地台功能,而針對智慧型手機等裝置,若是資費方案允許的話也可以考慮改採使用手機數據網路連線來連網。

除此之外,應盡可能的使用 HTTPS 加密協定的網站,並盡可能啟用通訊軟體的各項加密通訊措施。

參考資料來源:
ezone:Wi-Fi WPA2 加密被 KRACKs 攻擊破解!四成 Android 裝置受影響
流動日報:【極恐怖】系統保安專家發現重大 WiFi 漏洞 WPA2 加密也擋不了
T 客邦: 服役 13 年,你家無線路由器用的 WPA2 加密協議可能已被攻破,全球 WiFi 安全性將面臨重大考驗
中央社:Wi-Fi 爆安全漏洞 4 成 Android 裝置恐遭駭
《TechCrunch》:Here’s what you can do to protect yourself from the KRACK WiFi vulnerability
WIKIPEDIA:WPA

(本文提供合作夥伴轉載,首圖來源:Pexels , CC Licensed。)

延伸閱讀

驚!亞馬遜 Echo 遭破解,竄改系統、竊取帳號,還能把妳聽光光
【Android 用戶注意】Android 沒有 iPhone 安全!每連接一次 Wifi 就透露一次行蹤
【川普來查水表囉】違抗美帝抵死不從,俄羅斯的祖柏克拒絕讓 FBI 在自家通訊加密軟體開後門


科技報橘 2019 全面徵才 ── 跟我們一起找到台灣在國際中的創新產業定位

我們正在找「社群編輯 3 名」、「資深採訪編輯 2 名

來信請將履歷與文字作品寄至 [email protected],信件名稱:應徵 TechOrange 社群編輯:(您的大名)

 

 

點關鍵字看更多相關文章: