WiFi 爆重大安全漏洞！iOS、Android、Windows 等所有无线设备都不安全了 - CSDN博客
WiFi 爆重大安全漏洞！iOS、Android、Windows 等所有无线设备都不安全了
程序猿（微信号：imkuqin）
参考：太平洋网络、新浪科技、网易科技、环球时报、CSDN、雷锋网等
据报道，有计算机安全专家发现了 WiFi 设备的安全协议存在漏洞。这种漏洞能够影响到许多操作系统和设备，其中就包含了安卓、Linux、Apple、Windows、OpenBSD、MediaTek 和 Linksys 等系统。
无论你在家还是在公众场合，只要连接 WiFi ，都有可能会被入侵。
一旦被攻击用户的信用卡号码和密码、讯息、电邮及照片等不再保密。黑客甚至可以将勒索软件和其它恶意软件插入到用户浏览的网站中。
漏洞名叫“KRACK”，也就是“Key Reinstallation Attack”（密钥重安装攻击）的缩写，它曝露了
WPA2 的一个基本漏洞（使用范围最广的 Wi-Fi 网络保护协议）。攻击者会重复使用客户端设备加入 Wi-Fi 网络时提供的一次性密钥，通过这种方法破解接入点与客户端设备之间交换的信息。
何为 WPA2？
WPA，全称为 Wi-Fi Protected Access（保护无线电脑网络安全系统），有 WPA 和 WPA2 两个标准，是一种保护无线网络安全的加密协议。而 WPA2 是基于 WPA 的一种新的加密方式，支持 AES 加密，新型的网卡、AP 都支持 WPA2 加密，但现在已经被黑客破解。攻击者如今可读取通过 WAP2 保护的任何无线网络（诸如路由器）的所有信息。
范霍夫在网站上描述了攻击流程：当一台设备加入一个受保护的Wi-Fi网络时，一个名为四向握手的流程便会发生。这种“握手”会确保客户端与接入点都能拥有正确的登录信息，并生成一个新的加密密钥来保护网络流量。
这个加密密钥会在四向握手的第三步安装，但如果接入点认为消息丢失，有时会重复发送相同的密钥。范霍夫的研究发现，攻击者其实可以迫使接入点安装相同的加密密钥，这样一来，入侵者便可借此攻击加密协议，并破解数据。
根据 WPA2 协议使用程度的差异，不同的设备和操作系统受到的影响程度也将不同。安卓6.0 和 Linux 系统遭受的最严重攻击或将导致加密密匙被重写，与此同时，iOS 和 Windows 系统具有一定的安全性，因为它们并不会完全依赖于 WPA2 协议，因此会避开这一漏洞。但是专家认为没有设备和系统能够完全不受漏洞的影响。
针对 KRACK 漏洞各大企业如何回应？以下为各企业截至发稿前的回应：
微软：微软于10月10日发布安全补丁，使用Windows Update的客户可以使用补丁，自动防卫。我们及时更新，保护客户，作为一个负责任的合作伙伴，我们没有披露信息，直到厂商开发并发布补丁。
苹果 iOS 和 Mac：苹果证实 iOS、MacOS、WatchOS、TVOS 有一个修复补丁，在未来几周内就会通过软件升级的形式提供给客户。
谷歌移动/谷歌Chromecast/ Home/ WiFi：我们已经知道问题的存在，未来几周会给任何受影响的设备打上补丁。
谷歌Chromebook：暂时没有发表评论。
亚马逊Echo、FireTV和Kindle：我们的设备是否存在这样的漏洞？公司正在评估，如果有必要就会发布补丁。
三星移动、三星电视、三星家电：暂时没有发表评论。
思科：暂时没有发表评论。
Linksys/Belkin：Linksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息，会根据情况提供指导意义。我们一直将客户放在第一位，会在安全咨询页面发布指导意见，告诉客户如何升级产品，如果需要就能升级。
Netgear：最近安全漏洞 KRACK 曝光，Netgear 已经知道，KRACK 可以利用 WPA2 安全漏洞发起攻击。Netgear 已经为多款产品发布修复程序，正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。
为了保护用户， Netgear 公开发布修复程序之后才披露漏洞的存在，没有提到漏洞的具体信息。一旦有了修复程序，Netgear 会通过“Netgear 产品安全”页面披露漏洞。
Eero：我们已经知道 WAP2 安全协议存在 KRACK 漏洞。安全团队正在寻找解决方案，今天晚些时候就会公布更多信息。我们打造了云系统，针对此种情况可以发布远程更新程序，确保所有客户及时获得更新软件，自己不需要采取任何动作。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia：暂时没有发表评论。
英特尔：ICASI 和 CERT CC 已经通知英特尔，说 WPA2 标准协议存在漏洞。英特尔是 ICASI 的成员，为“协调的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”贡献了自己的力量。
英特尔正在与客户、设备制造商合作，通过固件和软件更新的方式应对漏洞。如果想获得更多信息，可以访问英特尔安全咨询页面。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/联想/戴尔/Roku/LG电子/LG移动/LG家电/通用电气:暂时没有发表评论。
Nest：我们已经知道漏洞的存在，未来几周将会为 Nest 产品推出补丁。
飞利浦 Hue：KRACK 攻击利用了 WiFi 协议。我们建议客户使用安全 WiFi 密码，在手机、计算机及其它 WiFi 设备上最新补丁，防范此类攻击。飞利浦 Hue 本身并不直接支持WiFi，因此不需要防范补丁。还有，我们的云帐户 API 可以用 HTTPS 进行保护，增强安全，这是一个额外的安全层，不会受到 KRACK 攻击的影响。
Kwikset/Yale/Schlage/Rachio/iHome/伊莱克斯/Frigidaire/Netatmo/Control4：暂时没有发表评论。
Roost：Roost接收或者发送的数据流都用最新的SSL/TLS加密技术进行端到端加密。我们认为自己的设备没有风险。建议用户听从WiFi Alliance的建议，在Access点使用WiFi加密，安装最新的软件补丁。
如何避免被攻击
目前，任何使用 Wi-Fi 的设备都有可能面临这一安全风险。变更 Wi-Fi 网络的密码也不能避免。为避免受 KRACK 攻击，建议及时更新无线路由器、手机，智能硬件等所有使用WPA2无线认证客户端的软件版本。（有补丁的前提下）
著名黑客杨卿发布博文称：普通用户不比过于惊慌，一来，该漏洞 Poc 代码未公布；二来，这次的攻击行为不是远程发起的，需要黑客在目标无线网络范围内才能进行；三来，一般人短时间内不具备使用发动攻击的能力。
不过，在漏洞尚未修复之前，对于普通手机用户来说，使用支付宝、微信支付、网银的时候，建议大家还是尽量使用蜂窝移动网络。
●本文编号2680，以后想阅读这篇文章直接输入2680即可
●输入m获取文章目录
推荐↓↓↓&
黑客技术与网络安全
更多推荐《》
涵盖：程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。
本文已收录于以下专栏：
相关文章推荐
Apple本周三释出正式版的iOS 10.3.3系统更新，特别一提的是，在此次所修复的十多项重大漏洞，其中，有一项是跟无线WiFi芯片有关，这项被命名为「Broadpwn」漏洞，存在于采用Broadp...
日，微软宣称将不再为WindowsXP提供技术支持，当大多数人在忧虑如何保护个人电脑安全时，OpenSSL却爆出本年度最严重的安全漏洞！无论用户电脑多么安全，只要登陆的网站使用了存在漏...
“根据美国计算机紧急响应小组（CERT）本月 10 日 (2013年 )发布的报告：Java 7 存在巨大的安全漏洞，美国国土安全局已经向所有用户发出建议，要求立即禁用 Java 7。”
关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-)的代号，俗称...
原标题：亚马逊新功能AmazonCart：从Twitter直接添加产品至购物车
在线零售巨头亚马逊美国时间本周一宣布，他们联合Twitter推出了一项新功能：该功能支持用户将在Twi...
数字安全事件我们常有耳闻，比如12306 账户信息泄露和携程用户信用卡泄露，它们都属于网络安全范畴。而最近两件重大安全事件则实属罕见，一个是系统级别的漏洞，一个是固件层面的隐形蠕虫……
原文地址：http://android.xsoftlab.net/training/connect-devices-wirelessly/wifi-direct.html#permissions
众所周知，微软谈论Windows 8已经超过一年多时间了，每次谈论话题都会引出不少兴趣点，引起人们的极大关注。近期，微软开始对Windows 8的安全问题大为关注，该公司表示，由于Windows De...
他的最新文章
讲师：何宇健
讲师：董岩
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)登录以解锁更多InfoQ新功能
获取更新并接收通知
给您喜爱的内容点赞
关注您喜爱的编辑与同行
966,690 十月 独立访问用户
语言 & 开发
架构 & 设计
文化 & 方法
您目前处于：
WiFi爆惊天漏洞！KRACK可攻陷所有WiFi网络
WiFi爆惊天漏洞！KRACK可攻陷所有WiFi网络
Mathy Vanhoef
0&他的粉丝
日. 估计阅读时间:
：Facebook、Snapchat、Tumblr等背后的核心技术
Author Contacted
语言 & 开发
66 他的粉丝
架构 & 设计
236 他的粉丝
58 他的粉丝
0 他的粉丝
1 他的粉丝
相关厂商内容
相关赞助商
告诉我们您的想法
允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p
当有人回复此评论时请E-mail通知我
Re: 看到作者是先连接到wifi上面才可以破解的
允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p
当有人回复此评论时请E-mail通知我
允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p
当有人回复此评论时请E-mail通知我
赞助商链接
架构 & 设计
文化 & 方法
<及所有内容，版权所有 &#169;
C4Media Inc.
服务器由 提供, 我们最信赖的ISP伙伴。
北京创新网媒广告有限公司
京ICP备号-7
找回密码....
InfoQ账号使用的E-mail
关注你最喜爱的话题和作者
快速浏览网站内你所感兴趣话题的精选内容。
内容自由定制
选择想要阅读的主题和喜爱的作者定制自己的新闻源。
设置通知机制以获取内容更新对您而言是否重要
注意：如果要修改您的邮箱，我们将会发送确认邮件到您原来的邮箱。
使用现有的公司名称
修改公司名称为：
公司性质：
使用现有的公司性质
修改公司性质为:
使用现有的公司规模
修改公司规模为：
使用现在的国家
使用现在的省份
Subscribe to our newsletter?
Subscribe to our industry email notices?
我们发现您在使用ad blocker。
我们理解您使用ad blocker的初衷，但为了保证InfoQ能够继续以免费方式为您服务，我们需要您的支持。InfoQ绝不会在未经您许可的情况下将您的数据提供给第三方。我们仅将其用于向读者发送相关广告内容。请您将InfoQ添加至白名单，感谢您的理解与支持。WiFi漏洞几乎影响所有无线设备 微软苹果将打补丁|WIFI|漏洞|补丁_新浪科技_新浪网
WiFi漏洞几乎影响所有无线设备 微软苹果将打补丁
　　新浪科技讯 北京时间10月17日早间消息，有计算机安全专家发现了WiFi设备的安全协议存在漏洞。这个漏洞影响许多设备，比如计算机、手机、路由器，几乎每一款无线设备都有可能被攻击。
　　漏洞名叫“KRACK”，也就是“Key Reinstallation Attack”（密钥重安装攻击）的缩写，它曝露了WPA2的一个基本漏洞，WPA2是一个通用协议，大多现代无线网络都用到了该协议。计算机安全学者马蒂·凡赫尔夫（Mathy Vanhoef）发现了漏洞，他说漏洞存在于四路握手（four-way handshake）机制中，四路握手允许拥有预共享密码的新设备加入网络。
　　在最糟糕的情况下，攻击者可以利用漏洞从WPA2设备破译网络流量、劫持链接、将内容注入流量中。换言之，攻击者通过漏洞可以获得一个万能密钥，不需要密码就可以访问任何WAP2网络。一旦拿到密钥，他们就可以窃听你的网络信息。
　　漏洞的存在意味着WAP2协议完全崩溃，影响个人设备和企业设备，几乎每一台设备都受到威胁。
　　凡赫尔夫说：“如果你的设备支持WiFi，极有可能会受到影响。”不过凡赫尔夫没有公布任何概念验证漏洞利用代码，暂时不会有太大的影响，攻击也不会大规模爆发。
　　周一时，美国国土安全局网络应急部门US-CERT确认了漏洞的存在，早在2个月前，US-CERT已经秘密通知厂商和专家，告诉它们存在这样的漏洞。在Black Hat安全会议上，凡赫尔夫发表关于网络协议的演讲，他在讲话中谈到了新漏洞。
　　针对KRACK漏洞各大企业是怎样应对的呢？下面看看各企业截至发稿时的回应：
　　微软于10月10日发布安全补丁，使用Windows Update的客户可以使用补丁，自动防卫。我们及时更新，保护客户，作为一个负责任的合作伙伴，我们没有披露信息，直到厂商开发并发布补丁。
　　iOS和Mac
　　苹果证实iOS、MacOS、WatchOS、TVOS有一个修复补丁，在未来几周内就会通过软件升级的形式提供给客户。
　　移动/谷歌Chromecast/ Home/ WiFi
　　我们已经知道问题的存在，未来几周会给任何受影响的设备打上补丁。
　　谷歌Chromebook
　　暂时没有发表评论。
　　Echo、FireTV和Kindle
　　我们的设备是否存在这样的漏洞？公司正在评估，如果有必要就会发布补丁。
　　三星移动、三星电视、三星家电
　　暂时没有发表评论。
　　暂时没有发表评论。
　　Linksys/Belkin
　　Linksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息，会根据情况提供指导意义。我们一直将客户放在第一位，会在安全咨询页面发布指导意见，告诉客户如何升级产品，如果需要就能升级。
　　Netgear
　　最近安全漏洞KRACK曝光，Netgear已经知道，KRACK可以利用WPA2安全漏洞发起攻击。Netgear已经为多款产品发布修复程序，正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。
　　Netgear高度重视安全问题，不断监控自己的产品，及时了解最新威胁。对于紧急安全问题，我们会防预而不是事后采取行动，这是Netgear的基本信念。
　　为了保护用户，Netgear公开发布修复程序之后才披露漏洞的存在，没有提到漏洞的具体信息。一旦有了修复程序，Netgear会通过“Netgear产品安全”页面披露漏洞。
　　我们已经知道WAP2安全协议存在KRACK漏洞。安全团队正在寻找解决方案，今天晚些时候就会公布更多信息。我们打造了云系统，针对此种情况可以发布远程更新程序，确保所有客户及时获得更新软件，自己不需要采取任何动作。
　　D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/
　　暂时没有发表评论。
　　ICASI和CERT CC已经通知，说WPA2标准协议存在漏洞。英特尔是ICASI的成员，为“协调的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”贡献了自己的力量。
　　英特尔正在与客户、设备制造商合作，通过固件和软件更新的方式应对漏洞。如果想获得更多信息，可以访问英特尔安全咨询页面。
　　/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/联想/戴尔/Roku/LG电子/LG移动/LG家电/
　　暂时没有发表评论。
　　我们已经知道漏洞的存在，未来几周将会为Nest产品推出补丁。
　　飞利浦Hue
　　KRACK攻击利用了WiFi协议。我们建议客户使用安全WiFi密码，在手机、计算机及其它WiFi设备上最新补丁，防范此类攻击。飞利浦Hue本身并不直接支持WiFi，因此不需要防范补丁。还有，我们的云帐户API可以用HTTPS进行保护，增强安全，这是一个额外的安全层，不会受到KRACK攻击的影响。
　　Kwikset/Yale/Schlage/Rachio/iHome/伊莱克斯/Frigidaire/Netatmo/Control4
　　暂时没有发表评论。
　　Roost接收或者发送的数据流都用最新的SSL/TLS加密技术进行端到端加密。我们认为自己的设备没有风险。建议用户听从WiFi Alliance的建议，在Access点使用WiFi加密，安装最新的软件补丁。（星海）
从iPhone X采用了TrueDepth相机和Face ID以来，Android 阵营的手机厂商对可能的3D感测解决方案的
这是一个关于越南美容院、全球五百强和南京周边农家乐的故事。
金融行业具有典型的风险滞后效应，也是典型的严监管行业。所以，金融机构的上市之路，总是会比一WiFi曝出重大安全漏洞，你该怎么办!
最近，比利时鲁汶大学的马西·范霍夫发现了一项名为KRACK漏洞，它会影响现代Wi-Fi设备中广泛使用的WPA2安全协议，攻击者可以借此拦截Wi-Fi接入点与电脑或移动设备之间传输的敏感数据，甚至加密数据。
浏览 1591·
研究人员最近发现了一项漏洞，攻击者可以借此拦截Wi-Fi接入点与电脑或移动设备之间传输的敏感数据，甚至也包括加密数据。这项漏洞名为KRACK，它会影响现代Wi-Fi设备中广泛使用的WPA2安全协议。该漏洞由比利时鲁汶大学的马西·范霍夫（Mathy Vanhoef）发现，他表示，在某些案例中，黑客可以利用KRACK漏洞向网站中植入勒索软件。到底是什么样的漏洞？KRACK是“密钥重装攻击”（Key Reinstallation Attack）的缩写，攻击者会重复使用客户端设备加入Wi-Fi网络时提供的一次性密钥，通过这种方法破解接入点与客户端设备之间交换的信息。这有可能导致信用卡、聊天信息和密码泄露。计算机安全学者马蒂·凡赫尔夫（Mathy Vanhoef）发现了漏洞，他说漏洞存在于四路握手（four-way handshake）机制中，四路握手允许拥有预共享密码的新设备加入网络。范霍夫在网站上描述了攻击流程：当一台设备加入一个受保护的Wi-Fi网络时，一个名为四向握手的流程便会发生。这种“握手”会确保客户端与接入点都能拥有正确的登录信息，并生成一个新的加密密钥来保护网络流量。这个加密密钥会在四向握手的第三步安装，但如果接入点认为消息丢失，有时会重复发送相同的密钥。范霍夫的研究发现，攻击者其实可以迫使接入点安装相同的加密密钥，这样一来，入侵者便可借此攻击加密协议，并破解数据。在最糟糕的情况下，攻击者可以利用漏洞从WPA2设备破译网络流量、劫持链接、将内容注入流量中。换言之，攻击者通过漏洞可以获得一个万能密钥，不需要密码就可以访问任何WAP2网络。一旦拿到密钥，他们就可以窃听你的网络信息。影响对象范霍夫警告称，任何支持Wi-Fi的设备都有可能受到KRACK漏洞的影响，但Linux和Android 6.0及以上版本的操作系统面临的风险特别大。这类设备目前占到Android设备总量的40%以上。范霍夫通过一个概念验证演示了如何发动KRACK攻击。但他在网站上警告称，目前无法确定是否已经有人发起了这种攻击。那我们应该怎么办呢？对于这类基础协议上出的问题，作为个人用户，除了在手机上禁用Wi-Fi，只用4G外，也没别的方法了。不过目前，Windows 10已经在10月的补丁中修复了该问题，而苹果也已经在自家系统的beta版中进行了修复，大家只要尽快升级系统、更新补丁即可。但Android用户们可能就需要等各自的厂商提供更新了。其实，对一般个人用户来说，KRACK这种高级货并不是最大的威胁，而且至少目前也还没有公开的攻击工具。在这种情况下，像这样利用起来成本较高的攻击技术，除了能用来帮助研究者发论文，也可能被用来针对一些高价值目标发起精确攻击，但被用来攻击普通人的概率其实不大。对普通人来说，设置了简单、容易被暴力破解的Wi-Fi口令才是更迫切的安全风险。而如果你为了能方便地蹭网，连那些会将自己家Wi-Fi密码分享出去的手机APP都装了，还担心什么KRACK啊！各大企业是怎样应对的？微软微软于10月10日发布安全补丁，使用Windows Update的客户可以使用补丁，自动防卫。我们及时更新，保护客户，作为一个负责任的合作伙伴，我们没有披露信息，直到厂商开发并发布补丁。苹果iOS和Mac苹果证实iOS、MacOS、WatchOS、TVOS有一个修复补丁，在未来几周内就会通过软件升级的形式提供给客户。谷歌移动/谷歌Chromecast/ Home/ WiFi我们已经知道问题的存在，未来几周会给任何受影响的设备打上补丁。亚马逊Echo、FireTV和Kindle我们的设备是否存在这样的漏洞？公司正在评估，如果有必要就会发布补丁。Linksys/BelkinLinksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息，会根据情况提供指导意义。我们一直将客户放在第一位，会在安全咨询页面发布指导意见，告诉客户如何升级产品，如果需要就能升级。Netgear最近安全漏洞KRACK曝光，Netgear已经知道，KRACK可以利用WPA2安全漏洞发起攻击。Netgear已经为多款产品发布修复程序，正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。Netgear高度重视安全问题，不断监控自己的产品，及时了解最新威胁。对于紧急安全问题，我们会防预而不是事后采取行动，这是Netgear的基本信念。为了保护用户，Netgear公开发布修复程序之后才披露漏洞的存在，没有提到漏洞的具体信息。一旦有了修复程序，Netgear会通过“Netgear产品安全”页面披露漏洞。Eero我们已经知道WAP2安全协议存在KRACK漏洞。安全团队正在寻找解决方案，今天晚些时候就会公布更多信息。我们打造了云系统，针对此种情况可以发布远程更新程序，确保所有客户及时获得更新软件，自己不需要采取任何动作。英特尔ICASI和CERT CC已经通知英特尔，说WPA2标准协议存在漏洞。英特尔是ICASI的成员，为“协调的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”贡献了自己的力量。英特尔正在与客户、设备制造商合作，通过固件和软件更新的方式应对漏洞。如果想获得更多信息，可以访问英特尔安全咨询页面。Nest我们已经知道漏洞的存在，未来几周将会为Nest产品推出补丁。飞利浦HueKRACK攻击利用了WiFi协议。我们建议客户使用安全WiFi密码，在手机、计算机及其它WiFi设备上最新补丁，防范此类攻击。飞利浦Hue本身并不直接支持WiFi，因此不需要防范补丁。还有，我们的云帐户API可以用HTTPS进行保护，增强安全，这是一个额外的安全层，不会受到KRACK攻击的影响。RoostRoost接收或者发送的数据流都用最新的SSL/TLS加密技术进行端到端加密。我们认为自己的设备没有风险。建议用户听从WiFi Alliance的建议，在Access点使用WiFi加密，安装最新的软件补丁。以下公司暂时没有发表评论：谷歌Chromebook三星移动、三星电视、三星家电思科D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/NvidiaAMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/联想/戴尔/Roku/LG电子/LG移动/LG家电/通用电气Kwikset/Yale/Schlage/Rachio/iHome/伊莱克斯/Frigidaire/Netatmo/Control4
{replyUser1} 回复
{replyUser2}：{content}
一个专为科研人员服务的科研社区
一个专为科研人员服务的科研社区
COPYRIGHT (C)
安歌信息技术有限公司 备案编号：京ICP备号-1