[情報] 【Wi-Fi加密大崩壞】WPA2爆重大漏洞
原文出處 https://www.ithome.com.tw/news/117515
研究人員設計了概念驗證攻擊程式,對一台Android手機發送全部為0的偽造加密金鑰,迫使無線AP及終端重新安裝金鑰,破解加密機制進而取得資料。幾乎所有現代手機、電腦、平板、連網家電或醫療器材均受影響,各家業者已開始著手修補。
比利時研究人員發現WPA2 (Wi-Fi Protected Access 2 )中有批重大漏洞,可讓攻擊者發動攻擊,破解Wi-Fi網路的加密機制,進而攔截原本以加密傳送的資訊,包括電子郵件、密碼等, 而幾乎所有使用WPA2的裝置都有被駭風險。
這批漏洞是由比利時魯汶大學IMEC-DistriNet教授Mathy Vanhoef及Frank Piessens發現,他們在美國國土安全部旗下ICS- CERT對超過百家廠商產品發出警示後公佈這項研究。
被發現的漏洞包括CVE-2017-13077、13078、13079、13080、13081、13082、13084、13086、13087、13088。在終端接入Wi-Fi時進行四向交握(four-way handshake)的過程,只要操弄傳送流量,使nonce及session金鑰重覆使用,迫使無線AP及終端重新安裝金鑰,最後造成加密機制被破解。駭客只要在有漏洞的AP或終端Wi-Fi網路範圍內就可發動攻擊,進行解密或注入封包、注入HTTP內容、綁架TCP連線,或重送unicast或群體位址(group-addressed)訊框等,讓攻擊者得以竊取信用卡、 密碼、聊天訊息、電子郵件、相片等資訊,理論上任何在Wi-Fi
網路上的內容都會被看光甚至竄改。
研究人員表示,由於漏洞出現在Wi-Fi標準WPA2本身,因此任何正確的WPA2實作都會受影響,而支援Wi-Fi的裝置風險更大,這意謂著幾乎所有現代手機、電腦、平板、甚至連網家電或醫療器材都可能被駭,裝置必須及早升級到安全版本才能免於受害。
研究人員並設計了密鑰重安裝攻擊(key reinstallation attack, KRACK)的概念驗證攻擊程式。根據示範影片(下), 研究人員針對一台Android手機傳送全部為0的加密金鑰, 而非真正金鑰,最後破解進而取得手機上的資料。他們指出, 這類攻擊對Linux及Android 6.0以上版本威脅尤其大,因為這兩類平台比其他作業系統(如i OS及Windows)更可能被騙而安裝假金鑰。
即便網站或App具有HTTPS加密也難保安全, 因為有多項非瀏覽器軟體、iOS、Android、OSX app、行動銀行及VPN app的攻擊成功繞過HTTPS防護的案例。
初步研究發現Android、Linux、iOS、mac OS、openBSD、MediaTek、Linksys及Windows等都可能遭到類似攻擊。根據CERT列出的名單, 上百家受影響廠商已經在8月底到10月中陸續接獲通知,包括Cisco、Aruba、Fortinet、Intel、Juniper、F5、RedHat、SUSE、華碩、合勤、友訊、華為、微軟、三星、Google、蘋果、小米等。
微軟週一發出公告指出Windows已經在上週二的安全更新中修補了漏洞。ZDNET則列出其他已修補漏的廠商包括Intel、FreeBSD、OpenBSD、Fortinet、Wi-Fi聯盟 。Google則對媒體表示已經著手修補,但要再幾週才能釋出給其Android裝置。
--
Sent from my Windows
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.157.246
※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1508248625.A.D66.html
推
10/17 23:57,
8年前
, 1F
10/17 23:57, 1F
→
10/17 23:57,
8年前
, 2F
10/17 23:57, 2F
→
10/18 00:12,
8年前
, 3F
10/18 00:12, 3F
→
10/18 00:22,
8年前
, 4F
10/18 00:22, 4F
→
10/18 00:23,
8年前
, 5F
10/18 00:23, 5F
→
10/18 00:23,
8年前
, 6F
10/18 00:23, 6F
推
10/18 00:41,
8年前
, 7F
10/18 00:41, 7F
→
10/18 00:41,
8年前
, 8F
10/18 00:41, 8F
推
10/18 00:46,
8年前
, 9F
10/18 00:46, 9F
推
10/18 06:36,
8年前
, 10F
10/18 06:36, 10F
→
10/18 07:57,
8年前
, 11F
10/18 07:57, 11F
→
10/18 09:42,
8年前
, 12F
10/18 09:42, 12F
→
10/18 10:37,
8年前
, 13F
10/18 10:37, 13F
→
10/18 10:41,
8年前
, 14F
10/18 10:41, 14F
→
10/18 10:41,
8年前
, 15F
10/18 10:41, 15F
推
10/18 14:39,
8年前
, 16F
10/18 14:39, 16F
→
10/18 14:39,
8年前
, 17F
10/18 14:39, 17F
→
10/18 14:40,
8年前
, 18F
10/18 14:40, 18F
→
10/18 14:40,
8年前
, 19F
10/18 14:40, 19F
推
10/18 14:45,
8年前
, 20F
10/18 14:45, 20F
推
10/18 15:12,
8年前
, 21F
10/18 15:12, 21F
→
10/18 15:58,
8年前
, 22F
10/18 15:58, 22F
→
10/18 16:00,
8年前
, 23F
10/18 16:00, 23F
推
10/18 16:42,
8年前
, 24F
10/18 16:42, 24F
→
10/18 16:43,
8年前
, 25F
10/18 16:43, 25F
推
10/18 17:04,
8年前
, 26F
10/18 17:04, 26F
→
10/18 17:05,
8年前
, 27F
10/18 17:05, 27F
推
10/18 21:57,
8年前
, 28F
10/18 21:57, 28F
→
10/18 22:12,
8年前
, 29F
10/18 22:12, 29F
→
10/18 22:13,
8年前
, 30F
10/18 22:13, 30F
推
10/18 22:31,
8年前
, 31F
10/18 22:31, 31F
推
10/18 22:34,
8年前
, 32F
10/18 22:34, 32F
推
10/18 22:50,
8年前
, 33F
10/18 22:50, 33F

→
10/18 22:53,
8年前
, 34F
10/18 22:53, 34F
推
10/19 01:05,
8年前
, 35F
10/19 01:05, 35F
→
10/19 08:55,
8年前
, 36F
10/19 08:55, 36F
推
10/19 10:05,
8年前
, 37F
10/19 10:05, 37F
→
10/19 10:05,
8年前
, 38F
10/19 10:05, 38F
→
10/19 14:25,
8年前
, 39F
10/19 14:25, 39F
→
10/19 14:26,
8年前
, 40F
10/19 14:26, 40F
→
10/19 14:27,
8年前
, 41F
10/19 14:27, 41F
→
10/19 18:20,
8年前
, 42F
10/19 18:20, 42F
→
10/19 18:20,
8年前
, 43F
10/19 18:20, 43F
Broad_Band 近期熱門文章
PTT數位生活區 即時熱門文章