是的，你沒(méi)看錯(cuò)，隨著WPA2協(xié)議漏洞(邏輯缺陷)的曝出，你的Wi-Fi加密已經(jīng)形同虛設(shè)了，幾乎所有支持WPA/WPA2加密的Wi-Fi設(shè)備都面臨著入侵威脅。

而且由于此次漏洞出現(xiàn)在Wi-Fi標(biāo)準(zhǔn)協(xié)議上，并非一些特定產(chǎn)品或?qū)崿F(xiàn)方案中所僅有，因此一石激起千層浪，引發(fā)了廣泛關(guān)注。

不過(guò)面對(duì)各方報(bào)道，筆者認(rèn)為下面的幾點(diǎn)更加重要，可以幫你擺脫誤導(dǎo)，快速提升安全防護(hù)。

[[207063]]

哪些設(shè)備會(huì)是攻擊目標(biāo)?

據(jù)國(guó)外安全員Mathy Vanhoef指出，此次發(fā)現(xiàn)的WPA2協(xié)議漏洞，主要針對(duì)Wi-Fi接入的客戶端(如手機(jī)、平板、筆記本電腦等)設(shè)備。

通過(guò)密鑰重裝攻擊(Key Reinstallation AttaCK，KRACK)，可以誘發(fā)這些客戶端進(jìn)行密鑰重裝操作，以完成相互認(rèn)證，進(jìn)而實(shí)現(xiàn)WAP2加密網(wǎng)絡(luò)的破解。

需要注意的是，密鑰重裝攻擊是由于802.11標(biāo)準(zhǔn)中沒(méi)有定義在4次握手(和其他設(shè)備握手)中何時(shí)應(yīng)該安裝的協(xié)商密鑰，攻擊者可通過(guò)誘使多次安裝相同的密鑰，從而重置由加密協(xié)議使用的隨機(jī)數(shù)和重放計(jì)數(shù)器。

而實(shí)際上，在進(jìn)行無(wú)線加密時(shí)，一個(gè)密鑰只應(yīng)該安裝和使用一次，但WPA2協(xié)議層卻沒(méi)有提供相應(yīng)的保障。因此導(dǎo)致所有支持WPA2的客戶端都會(huì)成為潛在的攻擊目標(biāo)。

無(wú)線路由器不用打補(bǔ)丁嗎?

想要明確這個(gè)問(wèn)題，首先就要了解受此次WPA2協(xié)議漏洞影響的設(shè)備有哪些?可以說(shuō)，所有采用WPA/WPA2加密，且支持客戶端模式的Wi-Fi設(shè)備都在受影響之列。

[[207064]]

受影響設(shè)備：

• 支持WPA/WPA2加密的無(wú)線終端設(shè)備，如智能手機(jī)、平板電腦、筆記本電腦、無(wú)線網(wǎng)卡等;
• 采用客戶端模式、Mesh模式的無(wú)線路由器/AP、無(wú)線拓展器或無(wú)線橋接器(支持WPA/WPA2加密);

[[207065]]

• 采用客戶端模式、Mesh模式的無(wú)線路由器要打補(bǔ)丁喲

因此，如果是使用上述模式路由器的個(gè)人用戶或企業(yè)，都需要盡快向各自設(shè)備廠商了解是否有安全更新推出。

攻擊發(fā)動(dòng)條件：

必須搜索到你的Wi-Fi信號(hào)，并在你的無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋范圍內(nèi)才可以實(shí)施攻擊。比如，“隔壁老王”會(huì)具備發(fā)動(dòng)攻擊的條件：)當(dāng)然他還得了解密鑰重裝攻擊手法及工具。

[[207066]]

攻擊影響：

利用密鑰重裝攻擊，攻擊者可以繞過(guò)常規(guī)的網(wǎng)絡(luò)密碼認(rèn)證，對(duì)被攻擊端的所有流量進(jìn)行嗅探、篡改，獲取明文賬號(hào)，甚至注入勒索或其他惡意軟件等。顯然，企業(yè)無(wú)線網(wǎng)絡(luò)會(huì)成為主要的被攻擊目標(biāo)。

已推出補(bǔ)丁的廠商：

在該漏洞細(xì)節(jié)曝光之后，Linux、微軟、蘋(píng)果相繼都發(fā)布了補(bǔ)丁，因此強(qiáng)烈建議大家及時(shí)的更新自己的系統(tǒng)版本或者安裝補(bǔ)丁，截至目前為止，主流終端的補(bǔ)丁進(jìn)展如下：

• Windows終端：微軟已于10月10日的安全累積更新中修復(fù)KRACK漏洞。請(qǐng)開(kāi)啟Windows 10的自動(dòng)更新，舊版本W(wǎng)indows請(qǐng)及時(shí)升級(jí)到Windows 10。
• iOS終端：蘋(píng)果已于10月16日宣布修復(fù)此漏洞，請(qǐng)接收iOS推送更新。
• Android終端：Google將于11月修復(fù)此漏洞。國(guó)內(nèi)廠商的Android系統(tǒng)并非原生，請(qǐng)向各廠商了解安全更新事宜。
• Linux：wpa_supplicant已發(fā)布一個(gè)更新修復(fù)此漏洞，請(qǐng)通過(guò)包管理器更新組件。

個(gè)人用戶防不防?

其實(shí)這個(gè)問(wèn)題，就像再問(wèn)是否需要為銀行卡、支付寶、微信設(shè)置支付密碼一樣清楚：一定要進(jìn)行防護(hù)升級(jí)。

雖然此次WPA2協(xié)議曝出的KRACK漏洞，尚無(wú)利用工具流出，并不代表以后都不會(huì)出現(xiàn)。而且由于是Wi-Fi協(xié)議層面上的漏洞，其影響有多廣泛，前面已經(jīng)闡述。

不僅如此，2016年山東準(zhǔn)大學(xué)生徐玉玉(一貧困家庭孩子)被騙離世的慘痛教訓(xùn)仍歷歷在目，騙子以及有目的信息竊取者可不管你是否有錢(qián)，重不重要，只要你成為他的目標(biāo)就可以了，剩下的也許僅僅是一段語(yǔ)音或幾行代碼。。。

近年來(lái)，個(gè)人信息保護(hù)不足導(dǎo)致個(gè)人隱私、財(cái)產(chǎn)等權(quán)利受到侵害，甚至危及了個(gè)人財(cái)產(chǎn)與生命安全的事情時(shí)有發(fā)生，而且在受到侵害后還有可能發(fā)現(xiàn)沒(méi)有高效的渠道進(jìn)行申訴，顯然都在向那些不注重信息防護(hù)的大意者敲響了警鐘。

而且隨著社會(huì)工程學(xué)不斷被應(yīng)用到互聯(lián)網(wǎng)領(lǐng)域，現(xiàn)在的技術(shù)漏洞似乎都被搶去了光環(huán)，淪為幕后的簡(jiǎn)單工具了。

所以，在當(dāng)下我們的個(gè)人信息都已被轉(zhuǎn)化成信息數(shù)據(jù)流連在互聯(lián)網(wǎng)上時(shí)，除了自己打好補(bǔ)丁、謀求防護(hù)外，可沒(méi)有其他人為你的信息“裸奔”負(fù)責(zé)喲。

[[207067]]

怎么防?

1. 留意終端設(shè)備商動(dòng)態(tài)，一旦推出相應(yīng)的安全補(bǔ)丁，盡快升級(jí);
2. 盡量不要連接公共Wi-Fi網(wǎng)絡(luò)，需要移動(dòng)網(wǎng)絡(luò)還是先連4G吧。
3. 漏洞主要針對(duì)客戶端，單單升級(jí)無(wú)線路由器或AP，無(wú)法有效防護(hù);
4. 修改無(wú)線網(wǎng)絡(luò)密碼無(wú)效，因?yàn)镵RACK攻擊可繞過(guò);
5. 企業(yè)級(jí)用戶可部署無(wú)線入侵防御系統(tǒng)(WIPS)或者VPN。