信息來(lái)源：中國(guó)信息產(chǎn)業(yè)網(wǎng)

        10月16日據(jù)國(guó)外媒體報(bào)道，最近又出現(xiàn)了一個(gè)新漏洞，可以讓攻擊者在聯(lián)網(wǎng)設(shè)備和無(wú)線接入點(diǎn)之間讀取到無(wú)線通信協(xié)議，甚至還能將其修改，把惡意軟件嵌入到網(wǎng)站中。研究人員今天正式對(duì)外披露了這項(xiàng)漏洞，并且表示安卓和基于Linux系統(tǒng)的設(shè)備受到的影響最大。這種攻擊對(duì)所有使用WPA或WPA 2加密的Wi-Fi網(wǎng)絡(luò)都生效，而且其最大的弱點(diǎn)就是Wi-Fi標(biāo)準(zhǔn)本身，因此包括macOS、Windows、iOS、Android和Linux理論上都有可能受到攻擊。

        通過(guò)攔截通信可以讓攻擊者讀取我們認(rèn)為安全的加密信息，黑客甚至不需要破解Wi-Fi密碼就能實(shí)現(xiàn)這一目標(biāo)。這個(gè)漏洞需要設(shè)備處于惡意攻擊的有效范圍之內(nèi)，可以被用來(lái)竊取信用卡卡號(hào)、密碼、聊天信息、照片、電子郵件以及在線通訊工具內(nèi)容。

        Android 6.0及以上版本系統(tǒng)都存在這個(gè)漏洞，研究人員表示由于基數(shù)過(guò)大，因此在操縱和攔截Linux和Android設(shè)備時(shí)生成的流量很容易被忽略，有41%的安卓設(shè)備都非常容易遭受到這種“具有毀滅性”的無(wú)線網(wǎng)絡(luò)攻擊。通過(guò)攻擊黑客可以入侵網(wǎng)站，嵌入勒索或惡意軟件，安卓設(shè)備需要通過(guò)安全補(bǔ)丁更新的方式才能免受攻擊。

        盡管大多數(shù)的設(shè)備看起來(lái)都是容易受到攻擊的目標(biāo)，但這種攻擊方式是通過(guò)讀取無(wú)線網(wǎng)絡(luò)流量的方式實(shí)現(xiàn)，而并不針對(duì)接入點(diǎn)。該攻擊利用了WPA2協(xié)議4-way handshake的漏洞，后者是一種確?？蛻舳撕驮L問(wèn)點(diǎn)在加入無(wú)線網(wǎng)絡(luò)時(shí)使用相同密碼的安全協(xié)議。

        由于這是一種基于客戶機(jī)的攻擊，預(yù)計(jì)未來(lái)幾周會(huì)陸續(xù)有更新補(bǔ)丁出現(xiàn)。研究人員在七月份就已經(jīng)提前向特定的硬件廠商發(fā)出了通知，并且在八月下旬發(fā)布了全面的提醒。安全研究人員表示，用戶無(wú)需更改Wi-Fi密碼，因?yàn)檫@并不能阻止攻擊的發(fā)生，但建議路由器和所有的客戶端設(shè)備都安裝最新的安全補(bǔ)丁。