走到哪裡就把 WiFi 連到哪裡的你,可要註意瞭,最近有消息稱 WPA2 安全加密協議已經被破解,也就是說全球的 WiFi 現在都不安全,你的隱私被曝光可能就是分分鐘的事兒!
我們先來解釋下這到底是怎麼回事兒。WPA2 加密協議專門用來保護 WiFi 安全,誕生至今差不多已有 13 年,終於出現漏洞也並不十分令人意外。該漏洞被稱為 " 密鑰重裝攻擊 "KRACK(Key Reinstallation Attacks),攻擊者可以監聽到接入 WiFi 網絡的無線客戶端,我們的手機、電腦、路由器和其它智能設備都面臨危險。
之所以說這次事件是全球性的,是因為 macOS、Windows、iOS、Android 和 Linux 都不能躲避這個漏洞,黑客可以將客戶端劫持到一個釣魚熱點上,實現流量劫持和篡改,同時侵入全球大部分設備並竊取用戶隱私。
修改密碼不管用
如果你想通過修改 WiFi 密碼的方式來規避風險,那麼我們可以明確地說,這種方法完全起不到作用。
KRACK 的進攻方式是根據合法 WiFi 偽造同名的釣魚 WiFi,並利用漏洞迫使無線客戶端連接到釣魚 WiFi 上,這樣一來無論你如何修改密碼,最終網絡都會連接到這個冒名頂替者上。
最佳的方式是等待路由器和其它設備的廠商采取措施,針對這個漏洞做出補丁更新,然後我們再及時更新無線路由器、手機、智能硬件等所有使用 WPA/WPA2 無線認證客戶端的軟件版本。
無需過分恐慌
雖然這次受波及的范圍比較廣,但黑客要想真的進攻,卻不能把我們 " 一鍋端 "。
一方,面黑客需要在合法 WiFi 的 100 米范圍內,才能偽造釣魚 WiFi 誘騙我們;另一方面,想要對漏洞加以利用,技術上的難度並不低,估計真實的攻擊案例短期內不會發生。
所以目前我們要做的,就是在不使用 WiFi 時關閉手機 WiFi 功能,公共 WiFi 下不要登錄有關支付、財產等賬號、密碼;如果必須登錄、支付,將手機切換至數據流量網絡。尤其是公共場所的免密 WiFi,為安全起見,最好不要隨意連接,相信這對每月流量幾個 G 的用戶來說,根本不是難事。
但傢裡的路由器如果軟件更新不及時,就可能需要我們花錢更換新的路由器瞭。
誰是安全的?
其實這個漏洞並非近期才被發現,早在今年 7 月份漏洞發現者就已經將問題反饋給瞭廠商,很多廠商也已行動起來瞭。
不久前的 10 月 2 日,Linux 的補丁已公佈;10 月 10 日,微軟 Windows10 操作系統發佈補丁;也是在 10 月 10 日,蘋果稱在最新的 beta 版 iOS、macOS、 tvOS 和 watchOS 中修復瞭無線網絡安全漏洞;谷歌發言人在推特上表示,2017 年 11 月 6 日或之後的安全補丁程序級別的安卓設備受到保護。
現在國內的各大互聯網安全公司也都對此事做出瞭反應。360 無線電安全研究院負責人提醒大傢及時更新軟件,騰訊 WiFi 管傢開啟瞭 Krack 漏洞防禦補丁,使用 ARP 持續保護功能進行監控和保護,這都給我們的網絡安全增加瞭一重防護罩。
