比利時研究人員今日表示:WPA2 安全加密協議已經被破解。
如果你朋友圈裡有一兩個略懂一些技術的好友,那麼他一定在昨天已經轉發過瞭相關的新聞。也許你對這條充滿技術詞語的新聞並不關心,除非我們換一種說法:
你能連接到的絕大多數 WIFI 在一夜之間都不安全瞭,甚至你通過自己傢路由器的 WIFI 上網,都有可能被盜號。
安全專傢 Mathy Vanhoef 表示:" 該漏洞影響瞭許多操作系統和設備,包括 Android,Linux,Apple,Windows 等。"
這個概念驗證攻擊被稱作 "KRACK"(密鑰重裝攻擊),詳細破解方法和視頻演示已在 krackattacks.com 網站上公佈。
WPA2 是什麼?
WPA 全稱為 Wi-Fi Protected Access,有 WPA 和 WPA2 兩個標準,是一種保護無線網絡安全的加密協議。
用更通俗一點的話來說,我們都知道連接到大多數 WIFI 是要輸入密碼的,這一過程不止用於防止蹭網,其實更重要的事驗證你的手機和路由器之間的通信沒有被別人竊取。
畢竟,對於滿世界亂飄的無線數據來說,就好像是你從手機端寄一個快遞到同一個小區的路由器傢。因為你手機也不知道路由器住在哪,所以會把包裹放在貨架上寫明 " 路由器收 "。
如果所有人都遵循規則,那麼每個使用 WIFI 的終端隻要到貨架上去找寫著自己名字的包裹就可以瞭。然而攻擊者並不管這些,會把你的包裹拿來拆開,然後在裡面放上自己偽造的數據。
如果 WIFI 都采用不加密的方式傳輸數據,那你平時看瞭什麼奇怪網站,下瞭什麼小電影,你鄰居可是一清二楚。不過當然最重要的是,有些 App 和網站的密碼,也可能因此而泄露。
在 WPA 這種加密方式被大規模應用之前,加密方式主要是 WEP(Wired Equivalent Privacy),由於每個數據包都使用相同的加密密鑰,如果竊聽者分析瞭足夠的數據,則可以使用自動化軟件找到密鑰。
還是用通俗一點的話來說,就是你的手機不停的往路由器發 " 快遞 ",WEP 雖然給每個快遞包裹都上瞭鎖,但是所有鎖都可以被一把鑰匙打開。攻擊者隻要多劫下幾個包裹試一試,就能配出一把鑰匙瞭。
圖片來源:Peter Dazeley
WEP 的加密方式在這三種加密中是安全性最弱的, 2001 年 8 月,Fluhrer et al. 發表瞭針對 WEP 的密碼分析,利用 RC4 加解密和 IV 的使用方式的特性,偷聽幾個小時之後,就可以把 RC4 的鑰匙破解出來。
2005 年,美國聯邦調查局展示瞭用公開可得的工具可以在三分鐘內破解一個用 WEP 保護的網絡。
與 WEP 相比,WPA 使用 TKIP 加密方案,並驗證它在數據傳輸過程中沒有被更改。而 WPA2 使用 AES 加密方法,進一步提高瞭安全性。
用不嚴謹但通俗單位方式來解釋,就是你手機和路由器之間每 " 快遞包裹 " 上的密碼都是變化的,而你手機和路由器達成瞭一種默契,保證隻有彼此才擁有正確的鑰匙,你的路由器還會拒絕簽收那些看起被動過的包裹。
除瞭安全性,由於 WEP 是 IEEE 802.11 標準的一部分,後續在開發更快更穩定的 IEEE 802.11n 時已經摒棄瞭對 WEP 加密的支持。如果繼續使用 WEP 加密,會影響無線網絡設備的傳輸速率。
但是由於路由器的升級換代速度很慢,直到 2003 年才被更加安全的 WPA 取代。
由於 WPA2 作為升級版的協議兼容 WPA,不需要更換硬件,因此目前的路由器大部分都在使用 WPA2 加密協議。
因此,在很長一段時間裡,隻要你不在公共場所隨意登錄那些完全不需要密碼的 WIFI,你就不會受到攻擊。
WPA2 被破解有什麼影響?
最直接的影響就是你傢裡的無線網絡將處於易受攻擊的狀態,你的信用卡、密碼、聊天記錄、照片、電子郵件等都有可能被黑客竊取。
krackattacks 網站顯示:Android 和基於 Linux 的設備受到的影響更大。由於 Android 使用 wpa_supplicant,41%的 Android 設備更容易受到攻擊。
隨後,Google 表示:將在接下來的幾個星期內推出相應的安全補丁。
除瞭安全補丁,與 WEP 被破解時的辦法相同,最好的解決辦法就是升級到更安全的加密協議。
如果新的協議沒有向下兼容的話,為瞭安全性,意味著許多路由器硬件將被淘汰,可能很快就需要換新的路由器瞭。
即便是新的協議支持硬件上的向下兼容,又會有哪個普通用戶會想到去更新自己路由器的固件呢?
如何降低安全風險?
如果黑客打算攻擊你傢的 Wi-Fi,需要物理上的靠近。所以,物理距離上的保護讓你的數據暫時沒有變得非常不安全。
不過,就算你定期更改傢裡的 Wi-Fi 密碼,也不會降低危險,因為 Wi-Fi 的加密協議都被破解瞭,知道你的密碼也不是什麼難事。
這也意味著機場、火車站、商場的公共 Wi-Fi 變得更加不安全,最好的辦法就是盡量使用 4G,外出的時候還是辦一張大流量的卡吧。
想要獲得更安全的體驗,最好的辦法還是關註自己路由器廠商的固件更新在第一時間升級。如果路由器廠商明確不對你的路由器型號進行維護瞭,那 …… 趁這個機會趕緊買個新路由器吧,也正好湊湊這兩年智能路由器的熱氣兒。
除瞭等待路由器廠商更新固件和更換新款路由器之外,在瀏覽網頁時,盡量選擇訪問 https 站點。Wi-Fi 加密協議不安全瞭,還有一道網站端的加密保護用戶的數據。
此外,krackattacks 網站還給出瞭一些更專業的建議:比如禁用路由器的客戶端功能(例如中繼模式)和 802.11r(快速漫遊)。
不過總體來說,這都是緩兵之計,升級固件和換路由器才是唯一的解決方案。
