(年度订阅用户可加入科技英语学习社区,每周科技英语直播讲堂,详情查看“阅读原文”)
本周一,由比利时天主教鲁汶大学(KULeuven)研究人员MathyVanhoef和FrankPiessens所发表的一份关于WPA2(Wi-Fi网络安全接入第二版)安全漏洞的论文,在全球互联网以及网络安全领域造成了一场十级地震。
他们针对该漏洞开发出来的一款被称为“KRACK”(KeyReinstallationAttaCKs,即“密匙重装攻击”)的概念验证攻击可以让入侵者轻易截留信用卡信息、密码、聊天、邮件、照片等等加密数据。
在某些情况下,入侵者甚至可以在用户访问的网站数据包中加入勒索病毒或其他恶意内容。文中表示:该漏洞对全球所有使用WPA2协议的设备(也就是绝大多数的WiFi设备)都有效。换句话来说,没有任何操作系统和设备是安全的。
在研究人员公布此漏洞的网站上,他们表示此次是WPA2协议的核心机制出现了漏洞。KRACK的原理是针对用户端加入开启WPA2协议的无线网络时,必须进行的4次“握手”。这种“握手”的本意是通过传送加密过的通用密匙作为凭证,来确保用户端和接入点之间数据传输的安全。
在进行攻击时,KRACK会通过修改并重播加密握手信息,引诱用户端安装一个已被使用过的密匙。而这将导致用户端将已传输的数据包数(Nonce)和已接收的数据包数(ReplayCounter)重置到初始数值,从而破坏整个加密系统的完整性。
在Vanhoef录制的一段视频中,他展示了如何使用KRACK入侵一款安卓手机。经过引诱后,目标系统成功的重装了一个所有数值全为零的密匙,让入侵者可以轻易的解密手机和接入点之间的一切数据。他表示,由于此类攻击也对Linux有效,因此Linux和安卓系统是尤其的脆弱:“目前,50%的安卓设备都可以被这种特别严重的KRACK变种轻易入侵。”
此外,只访问HTTPS(经过SSL,即安全套接层加密过的)网站,利用HTTPS协议进行多层加密也不能确保解决数据传输中的安全漏洞。因为有许多启动HTTPS的网站由于设置不当,可以被第三方软件强行停止传送加密过的HTTPS数据,转为使用不加密的HTTP协议。在视频展示中,Vanhoef就使用了一款叫SSLstrip的脚本,强制match.宁夏白癜风医院甲磺酸左氧沙星