Wi-Fi(無線局域網(wǎng))曝出的安全漏洞，可能只是虛驚一場。

　　10月16日，國際著名漏洞知識庫通用漏洞披露(CVE)發(fā)布消息稱， 用于保護(hù)Wi-Fi安全的WPA/WPA2加密協(xié)議漏洞曝光，該漏洞名稱為“密鑰重裝攻擊”KRACK(Key Reinstallation Attacks)，這幾乎將影響全部計算機(jī)、手機(jī)和路由器等Wi-Fi設(shè)備，使黑客可以監(jiān)聽到通過接入WiFi網(wǎng)絡(luò)設(shè)備進(jìn)行的數(shù)據(jù)通信，竊取用戶隱私;并可以劫持用戶客戶端到一個釣魚熱點(diǎn)上，實(shí)現(xiàn)流量劫持、篡改等。

　　據(jù)CVE發(fā)布的消息，預(yù)計在北京時間10月16日晚上8時開始，這些漏洞細(xì)節(jié)會陸續(xù)公開，從CVE編號數(shù)量來看，公布的漏洞有10個之多。而WPA2加密協(xié)議被攻陷意味著，在用戶家或辦公室 Wi-Fi 物理覆蓋范圍內(nèi)的攻擊者，都可以破解加密協(xié)議并發(fā)動入侵，監(jiān)聽網(wǎng)絡(luò)活動、攔截不安全或未加密的數(shù)據(jù)流。

　　對此，360無線電安全研究院負(fù)責(zé)人楊卿向澎湃新聞解釋，KRACK攻擊簡單來說，就是一種針對客戶端的攻擊方式，漏洞利用方法是攻擊者根據(jù)合法WiFi偽造同名的釣魚WiFi，并利用漏洞迫使無線客戶端連接到釣魚WiFi，這樣攻擊者就可以對無線客戶端的網(wǎng)絡(luò)流量進(jìn)行篡改，抓取社交網(wǎng)站賬號密碼。

　　“目前，該漏洞的利用代碼并未公布，且漏洞屬于范圍性影響，需處在合法WiFi附近不超過100米的范圍內(nèi)才能實(shí)現(xiàn)攻擊，再加上漏洞利用難度頗高，短時間內(nèi)很難出現(xiàn)利用該漏洞的真實(shí)攻擊。因此，用戶不必過度恐慌。”他表示。

　　據(jù)了解，漏洞發(fā)現(xiàn)者已經(jīng)在7月將漏洞細(xì)節(jié)報告給廠商，10月2日，Linux的補(bǔ)丁已公布;10月10日，微軟在Windows10操作系統(tǒng)中發(fā)布補(bǔ)丁;同一天，蘋果也發(fā)布了安全公告，在最新的beta版iOS、macOS、tvOS和watchOS中修復(fù)了無線網(wǎng)絡(luò)安全漏洞;谷歌方面則表示，將在近期給受影響設(shè)備打上補(bǔ)丁。

　　楊卿表示，該漏洞風(fēng)險處于可控范圍，用戶無需過分恐慌，也不用修改WiFi密碼，及時更新所有使用WPA/WPA2無線認(rèn)證客戶端的軟件版本就可有效防御。同時注意，在不使用WiFi時關(guān)閉手機(jī)WiFi功能，公共WiFi下不要登錄有關(guān)支付、財產(chǎn)等賬號、密碼。如需登錄、支付，將手機(jī)切換至數(shù)據(jù)流量網(wǎng)絡(luò)。

　　“該漏洞不能用于破解使用WPA/WPA2無線網(wǎng)絡(luò)的密碼，只會影響在使用WPA/WPA2認(rèn)證的無線網(wǎng)絡(luò)之下的無線客戶端(如手機(jī)、智能設(shè)備)。所以用戶根本無需修改密碼，只要及時更新無線路由器、手機(jī)、智能硬件等所有使用WPA/WPA2無線認(rèn)證客戶端的軟件版本，就可以避免遭遇攻擊。另外，有條件的企業(yè)及個人請合理部署WIPS(無線入侵防御系統(tǒng))，及時監(jiān)測合法WiFi區(qū)域內(nèi)的惡意釣魚WiFi，并加以阻斷干擾，使其惡意WiFi無法正常工作。”他說。