【新唐人北京時間2017年10月17日訊】美國政府與安全研究人員16日向全球發出警告,研究人員最近在受到廣泛使用的Wi-Fi加密協議上發現的漏洞,可能導致數以百萬計的使用者容易遭受攻擊,包括41%的安卓裝置。比利時研究人員在網路發文說,攻擊者可以利用加密協議WPA2的弱點,輕易盜取加密資訊。
比利時魯汶大學(KU Leuven)研究人員梅西·范霍夫(Mathieu Vanhoef)解釋說,通過各大Wi-Fi網路,駭客也可使用 「密鑰重安裝攻擊」(key reinstallation attack,KRACK)植入病毒等軟體。
他說:「這可以用來竊取敏感資訊,像是信用卡號碼、密碼、聊天訊息、電子郵件、照片等等。這類攻擊可以駭入現代所有受到保護的Wi-Fi網路。」
研究人員說,「密鑰重安裝攻擊」弱點可讓攻擊者繞過保密資料的Wi-Fi連結「金鑰」。這項漏洞也可能可讓攻擊者「在網站埋下惡意軟體」。
比利時研究人員在論文中說,所有搭載作業系統的裝置都可能受到「密鑰重安裝攻擊」攻擊,包括41%的安卓(Android)裝置。
相關視頻:
中央社報導,台灣賽門鐵克首席資深技術顧問張士龍表示,駭客透過WPA2網路加密協定的「密鑰重裝攻擊」漏洞,可以攔截使用者傳送出去的任何封包,竊取例如網路銀行密碼等個資。
值得注意的是,更改Wi-Fi密碼無濟於事,因為「密鑰重裝攻擊」屬於通訊協定漏洞,只有安裝WPA2裝置供應商推出的修補程式才能防堵,張士龍建議使用者應該立即修補漏洞。
魯汶大學的資安研究員表示,安卓與Linux系統較容易受到「密鑰重裝攻擊」 的威脅。谷歌Google (GOOG-US)已表示會盡快提供軟體補丁。另微軟 Microsoft (MSFT-US) 已發表軟體更新。
蘋果Apple (AAPL-US)尚未決定是否推出軟體補丁,但資安專家凱文·博蒙特(Kevin Beaumont)表示,「密鑰重裝攻擊」對於微軟及蘋果iOS系統「不太適應」。
如果找不到修補程式該怎麼辦?
張士龍建議,可以暫時使用VPN(Virtual Private Network,虛擬私人網路)建立虛擬加密安全連線,包括個人電腦和手機用戶都可以透過這個方法,避免資料被竊取。
張士龍說,WPA2在百貨公司、星巴克等咖啡廳甚至企業內部的Wi-Fi網路都被廣泛使用,因此幾乎所有使用者都需要留意相關安全漏洞。
他也提醒消費者,在公共場所發現名稱有free(免費)字眼的Wi-Fi網路,即使暗示可免費使用,也最好不要輕易連線,因為可能是駭客偽裝的惡意無線網路,一旦連上去,消費者所有的網路活動都會被駭客掌握。
(責任編輯:程以仁)
