研究人員在WPA3協(xié)議中發(fā)現(xiàn)的一系列漏洞可能允許攻擊者獲取Wi-Fi網(wǎng)絡(luò)的密碼。

新版本的WiFi安全協(xié)議WPA3于2018年6月正式推出，旨在提供更好的保護，防止脫機字典攻擊和密碼猜測嘗試，即使使用不太復(fù)雜的密碼也能提高安全性，并提前保密即使密碼已被泄露，也可以保護通信。

[[262196]]

WPA3也有漏洞了!

WPA3將提供個人和企業(yè)版本，將逐步取代WPA2，但它可能需要幾年時間才能被廣泛采用。與此同時，WPA2將繼續(xù)得到維護和改進(jìn)。

紐約大學(xué)阿布扎比分校的Mathy Vanhoef和特拉維夫大學(xué)的Eyal Ronen以及KU Leuven分析了WPA3，特別是其平等同步認(rèn)證(SAE)握手，通常稱為Dragonfly。值得注意的是，Vanhoef是發(fā)現(xiàn)WPA2漏洞的研究人員之一，稱為KRACK(密鑰重新安裝攻擊)。

Vanhoef和Ronen對WPA3的分析導(dǎo)致發(fā)現(xiàn)了兩種類型的漏洞，稱為Dragonblood，可用于恢復(fù)Wi-Fi網(wǎng)絡(luò)的密碼：允許降級攻擊的漏洞和可能導(dǎo)致旁道漏洞的漏洞。他們還發(fā)現(xiàn)了一個漏洞，可以利用這個漏洞在繞過WPA3中的DoS保護機制后在接入點(AP)上導(dǎo)致拒絕服務(wù)(DoS)條件。

據(jù)專家介紹，這些密碼分區(qū)攻擊可以使用價值125美元的Amazon EC2計算能力執(zhí)行8個字符的小寫密碼。CVE標(biāo)識符CVE-2019-9494已分配給側(cè)通道缺陷。

Vanhoef和Ronen表示，位于目標(biāo)Wi-Fi網(wǎng)絡(luò)范圍內(nèi)的攻擊者可以獲取密碼并獲取敏感信息，例如密碼，電子郵件，支付卡號碼以及通過即時消息應(yīng)用程序發(fā)送的數(shù)據(jù)。

【W(wǎng)i-Fi聯(lián)盟是一個非營利組織，其全球成員網(wǎng)絡(luò)維護著Wi-Fi技術(shù)，他表示這些漏洞只會影響“WPA3-Personal早期實施的數(shù)量有限”，并且沒有證據(jù)表明它們已經(jīng)被開發(fā)用于惡意目的。“WPA3-Personal處于部署的早期階段，受影響的少數(shù)設(shè)備制造商已經(jīng)開始部署補丁來解決問題。這些問題都可以通過軟件更新得到緩解，而不會對設(shè)備能夠很好地協(xié)同工作產(chǎn)生任何影響，“該組織表示。】