信息來源:hackernews
據(jù)外媒報道,安全研究人員于早期發(fā)現(xiàn) WPA2 無線網(wǎng)絡(luò)加密協(xié)議存在高危漏洞(CVE-2017-13080),幾乎影響到每一個連接到 Wi-Fi 網(wǎng)絡(luò)的設(shè)備。隨后,比利時魯汶大學(xué)的兩位研究人員研發(fā)出一個概念驗證攻擊 KRACK(代表 Key Reinstallation Attacks),演示了對 Android 設(shè)備傳輸數(shù)據(jù)的解密能力并在 Github 設(shè)立入口后創(chuàng)建了網(wǎng)站 krackattacks.com(目前已上線)。
某 KRACK 攻擊的概念驗證
調(diào)查顯示,運行 Android、Linux、Apple、Windows、OpenBSD、聯(lián)發(fā)科和 Linksys 的系統(tǒng)都受到影響。目前微軟、蘋果等供應(yīng)商在事件曝光后立即釋出了針對 “KRACK 攻擊” 的補丁。知情人士透露,OpenBSD 于 7 月 15 日收到通知并搶在正式公開前的 8 月 30 日就釋出了補丁。研究人員對此略有不滿,表示提前釋出的補丁可能會被其他人研究,從而重新發(fā)現(xiàn)漏洞。未來 OpenBSD 恐怕不會再太早收到漏洞的安全通知了。
微軟新聞發(fā)言人則表示:“ 我司已于 10 月 10 日發(fā)布安全更新,啟用了 Windows Update 并安裝了補丁的客戶會自動受到保護。本次更新旨在盡快為客戶提供保護,但是作為一個負責(zé)人的業(yè)內(nèi)或作伙伴,我們不會在其它供應(yīng)商發(fā)布更新之前公開披露信息 ”。此外,蘋果于 16 號上午向外媒 iMore 的 Rene Ritchie 表示,該公司早已在 iOS、TVOS、watchOS 以及 macOS 的 beta 版本中進行了修復(fù)。當(dāng)前新版軟件已向開發(fā)人員放出,消費者也將很快用上。
與運行 Linux 和 Android 的設(shè)備相比,蘋果的 iOS 設(shè)備(以及 Windows 機器)的漏洞問題要稍微輕一些。因為該漏洞依賴于一個允許單一使用的加密密鑰,且可被重新發(fā)送和使用多次。雖然 iOS 系統(tǒng)不允許這么操作,但還是暴露了部分弱點。一旦打上補丁,即便你連接了存有漏洞的路由器或無線接入點,運行 iOS、macOS、tvOS 和 watchOS 的設(shè)備也無法被 KRACK 方式攻擊。