是的，你沒看錯，隨著WPA2協(xié)議漏洞(邏輯缺陷)的曝出，你的Wi-Fi加密已經(jīng)形同虛設(shè)了，幾乎所有支持WPA/WPA2加密的Wi-Fi設(shè)備都面臨著入侵威脅。

而且由于此次漏洞出現(xiàn)在Wi-Fi標(biāo)準(zhǔn)協(xié)議上，并非一些特定產(chǎn)品或?qū)崿F(xiàn)方案中所僅有，因此一石激起千層浪，引發(fā)了廣泛關(guān)注。

不過面對各方報(bào)道，筆者認(rèn)為下面的幾點(diǎn)更加重要，可以幫你擺脫誤導(dǎo)，快速提升安全防護(hù)。

[[207063]]

哪些設(shè)備會是攻擊目標(biāo)?

據(jù)國外安全員Mathy Vanhoef指出，此次發(fā)現(xiàn)的WPA2協(xié)議漏洞，主要針對Wi-Fi接入的客戶端(如手機(jī)、平板、筆記本電腦等)設(shè)備。

通過密鑰重裝攻擊(Key Reinstallation AttaCK，KRACK)，可以誘發(fā)這些客戶端進(jìn)行密鑰重裝操作，以完成相互認(rèn)證，進(jìn)而實(shí)現(xiàn)WAP2加密網(wǎng)絡(luò)的破解。

需要注意的是，密鑰重裝攻擊是由于802.11標(biāo)準(zhǔn)中沒有定義在4次握手(和其他設(shè)備握手)中何時應(yīng)該安裝的協(xié)商密鑰，攻擊者可通過誘使多次安裝相同的密鑰，從而重置由加密協(xié)議使用的隨機(jī)數(shù)和重放計(jì)數(shù)器。

而實(shí)際上，在進(jìn)行無線加密時，一個密鑰只應(yīng)該安裝和使用一次，但WPA2協(xié)議層卻沒有提供相應(yīng)的保障。因此導(dǎo)致所有支持WPA2的客戶端都會成為潛在的攻擊目標(biāo)。

無線路由器不用打補(bǔ)丁嗎?

想要明確這個問題，首先就要了解受此次WPA2協(xié)議漏洞影響的設(shè)備有哪些?可以說，所有采用WPA/WPA2加密，且支持客戶端模式的Wi-Fi設(shè)備都在受影響之列。

[[207064]]

受影響設(shè)備：

• 支持WPA/WPA2加密的無線終端設(shè)備，如智能手機(jī)、平板電腦、筆記本電腦、無線網(wǎng)卡等;
• 采用客戶端模式、Mesh模式的無線路由器/AP、無線拓展器或無線橋接器(支持WPA/WPA2加密);

[[207065]]

• 采用客戶端模式、Mesh模式的無線路由器要打補(bǔ)丁喲

因此，如果是使用上述模式路由器的個人用戶或企業(yè)，都需要盡快向各自設(shè)備廠商了解是否有安全更新推出。

攻擊發(fā)動條件：

必須搜索到你的Wi-Fi信號，并在你的無線網(wǎng)絡(luò)信號覆蓋范圍內(nèi)才可以實(shí)施攻擊。比如，“隔壁老王”會具備發(fā)動攻擊的條件：)當(dāng)然他還得了解密鑰重裝攻擊手法及工具。

[[207066]]

攻擊影響：

利用密鑰重裝攻擊，攻擊者可以繞過常規(guī)的網(wǎng)絡(luò)密碼認(rèn)證，對被攻擊端的所有流量進(jìn)行嗅探、篡改，獲取明文賬號，甚至注入勒索或其他惡意軟件等。顯然，企業(yè)無線網(wǎng)絡(luò)會成為主要的被攻擊目標(biāo)。

已推出補(bǔ)丁的廠商：

在該漏洞細(xì)節(jié)曝光之后，Linux、微軟、蘋果相繼都發(fā)布了補(bǔ)丁，因此強(qiáng)烈建議大家及時的更新自己的系統(tǒng)版本或者安裝補(bǔ)丁，截至目前為止，主流終端的補(bǔ)丁進(jìn)展如下：

• Windows終端：微軟已于10月10日的安全累積更新中修復(fù)KRACK漏洞。請開啟Windows 10的自動更新，舊版本W(wǎng)indows請及時升級到Windows 10。
• iOS終端：蘋果已于10月16日宣布修復(fù)此漏洞，請接收iOS推送更新。
• Android終端：Google將于11月修復(fù)此漏洞。國內(nèi)廠商的Android系統(tǒng)并非原生，請向各廠商了解安全更新事宜。
• Linux：wpa_supplicant已發(fā)布一個更新修復(fù)此漏洞，請通過包管理器更新組件。

個人用戶防不防?

其實(shí)這個問題，就像再問是否需要為銀行卡、支付寶、微信設(shè)置支付密碼一樣清楚：一定要進(jìn)行防護(hù)升級。

雖然此次WPA2協(xié)議曝出的KRACK漏洞，尚無利用工具流出，并不代表以后都不會出現(xiàn)。而且由于是Wi-Fi協(xié)議層面上的漏洞，其影響有多廣泛，前面已經(jīng)闡述。

不僅如此，2016年山東準(zhǔn)大學(xué)生徐玉玉(一貧困家庭孩子)被騙離世的慘痛教訓(xùn)仍歷歷在目，騙子以及有目的信息竊取者可不管你是否有錢，重不重要，只要你成為他的目標(biāo)就可以了，剩下的也許僅僅是一段語音或幾行代碼。。。

近年來，個人信息保護(hù)不足導(dǎo)致個人隱私、財(cái)產(chǎn)等權(quán)利受到侵害，甚至危及了個人財(cái)產(chǎn)與生命安全的事情時有發(fā)生，而且在受到侵害后還有可能發(fā)現(xiàn)沒有高效的渠道進(jìn)行申訴，顯然都在向那些不注重信息防護(hù)的大意者敲響了警鐘。

而且隨著社會工程學(xué)不斷被應(yīng)用到互聯(lián)網(wǎng)領(lǐng)域，現(xiàn)在的技術(shù)漏洞似乎都被搶去了光環(huán)，淪為幕后的簡單工具了。

所以，在當(dāng)下我們的個人信息都已被轉(zhuǎn)化成信息數(shù)據(jù)流連在互聯(lián)網(wǎng)上時，除了自己打好補(bǔ)丁、謀求防護(hù)外，可沒有其他人為你的信息“裸奔”負(fù)責(zé)喲。

[[207067]]

怎么防?

1. 留意終端設(shè)備商動態(tài)，一旦推出相應(yīng)的安全補(bǔ)丁，盡快升級;
2. 盡量不要連接公共Wi-Fi網(wǎng)絡(luò)，需要移動網(wǎng)絡(luò)還是先連4G吧。
3. 漏洞主要針對客戶端，單單升級無線路由器或AP，無法有效防護(hù);
4. 修改無線網(wǎng)絡(luò)密碼無效，因?yàn)镵RACK攻擊可繞過;
5. 企業(yè)級用戶可部署無線入侵防御系統(tǒng)(WIPS)或者VPN。