這次被研究人員發(fā)現(xiàn)的漏洞攻擊讓 iOS 和 macOS 也無法幸免，Android 和 Linux 更是被秒成渣了。

WPA2——保護所有現(xiàn)代 wifi 網(wǎng)絡(luò)的加密標(biāo)準(zhǔn)——已經(jīng)被破解。攻擊者現(xiàn)在可以讀取所有通過 WPA2 加密的 wifi 網(wǎng)絡(luò)的信息，WPA2 是大多數(shù)路由器使用的無線安全加密協(xié)議，包括公共的和私有的。

Android 和 Linux 尤其容易受到攻擊，即使是那些被描述為“微不足道”的攻擊也能讓它們受到傷害，但所有其他平臺也很脆弱，包括 iOS 和 macOS。

WPA2 的缺陷是由 Mathy Vanhoef 發(fā)現(xiàn)的，他是荷蘭大學(xué)庫魯汶大學(xué)計算機科學(xué)系的一位博士后安全研究員。

“我們發(fā)現(xiàn)了 WPA2 的嚴(yán)重缺陷，這是一種保護所有現(xiàn)代 Wi-Fi 網(wǎng)絡(luò)的安全加密協(xié)議。攻擊者可以使用新穎的攻擊技術(shù)來讀取之前被認(rèn)為是安全加密的信息。這可能會被濫用來竊取一些敏感信息，如信用卡號、密碼、聊天信息、電子郵件、照片等等。這次攻擊覆蓋了所有受 WPA2 保護的 Wi-Fi 網(wǎng)絡(luò)。

缺點是在 wifi 標(biāo)準(zhǔn)本身，而不是單獨的產(chǎn)品或軟件導(dǎo)致出現(xiàn)問題。因此，任何使用 WPA2 安全協(xié)議的設(shè)備都可能受到影響?？梢哉f如果你的設(shè)備支持 Wi-Fi，就很有可能會受到影響。在我們最初的研究中，我們發(fā)現(xiàn) Android、Linux、蘋果、Windows、OpenBSD、聯(lián)發(fā)科、Linksys 等都受到了某種形式的攻擊或影響。”

通過安全分析員的實驗表明，安卓智能手機容易遭遇攻擊，運行 Android 6.0 或更高版本的設(shè)備尤其容易受到攻擊。除了允許對數(shù)據(jù)進行解密之外，他們還可以很容易地將加密密鑰重置為零。

然而，Vanhoef 強調(diào)，所有平臺面對攻擊都是脆弱的，盡管攻擊 mac 最初是一項更艱巨的挑戰(zhàn)，但后來還是發(fā)現(xiàn)了一種可行的方式。

我們可以從這一事實中得到一些安慰，因為攻擊只會解密由 wifi 連接本身加密的數(shù)據(jù)。如果你正在訪問一個安全的網(wǎng)站，這些數(shù)據(jù)仍然會被 HTTPS 協(xié)議加密。不過，現(xiàn)在也有針對 HTTPS 的單獨攻擊。

攻擊的工作原理是利用設(shè)備連接 wifi 網(wǎng)絡(luò)時的通信。WPA2 實現(xiàn)有一個 4 步的過程，首先確認(rèn)該設(shè)備使用了 wifi 路由器的正確密碼，然后同意一種加密密鑰，該密鑰將被用于在連接期間發(fā)送的所有數(shù)據(jù)。

“現(xiàn)在使用一種稱為 'KRACK'（密鑰重裝攻擊）的攻擊后，對手會欺騙受害者重新安裝已經(jīng)使用的密鑰，這是通過操作和重新播放加密的握手消息實現(xiàn)的。當(dāng)受害者重新安裝密鑰時，相關(guān)參數(shù)如增量傳輸數(shù)據(jù)包號（即nonce）和接收數(shù)據(jù)包號碼（即重放計數(shù)器）被重新設(shè)置為初始值。從本質(zhì)上講，為了保證安全，一個密鑰應(yīng)該只安裝一次使用。不幸的是，我們發(fā)現(xiàn) WPA2 協(xié)議并不能保證這一點。通過操作密碼握手，我們可以在實踐中濫用這一弱點。”

這就表示，如果黑客獲知在設(shè)備和路由器之間發(fā)送數(shù)據(jù)的任何內(nèi)容，就可以使用已知數(shù)據(jù)來計算加密密鑰。正如 Vanhoef 所指出的，幾乎總會有一些已知的數(shù)據(jù)在某個時候被設(shè)備通過，所以你必須假設(shè)加密總是會被破解的。即使你不知道其中的任何內(nèi)容，只要有足夠的文本信息，就可以破解密碼。

對于 Android 和 Linux，攻擊者甚至不必做那么多的工作：攻擊者只需重置加密密鑰即可。

好消息是，Vanhoef 說 WPA2 可以通過補丁來阻止攻擊，而且補丁將是向后兼容的?，F(xiàn)在一旦你發(fā)現(xiàn)路由器有補丁可用，就應(yīng)該立即更新固件。

Wi-Fi 聯(lián)盟已經(jīng)發(fā)布了一份安全顧問報告，感謝 Vanhoef 的工作，并表示他們已經(jīng)意識到這個問題，而主要的平臺提供商已經(jīng)開始部署補丁。報告說，目前沒有明顯證據(jù)表明有攻擊在實驗室外被使用，不過研究報告同時指出，這種攻擊很難被發(fā)現(xiàn)。

智能界（moderndentistryformadison.com）中國智能科技聚合推薦平臺，秉承“引領(lǐng)未來智能生活”的理念，專注報道智能家居、可穿戴設(shè)備、智能醫(yī)療、機器人、3D打印、智能汽車、VR/AR/MR/、人工智能等諸多科技前沿領(lǐng)域。關(guān)注智能創(chuàng)新對人的生活方式、價值的改變，致力傳播放大這部分聲量。聚合品牌宣傳、代理招商、產(chǎn)品評測、原創(chuàng)視頻、fm電臺與試用眾測，深入智能科技行業(yè)，全平臺多維度為用戶及廠商提供服務(wù)，致力成為中國最具影響力的智能科技聚合推薦平臺。

智能界【微信公眾號ID：znjchina】【新浪/騰訊微博：@智能界】