北京時(shí)間10月17日早間消息，有計(jì)算機(jī)安全專(zhuān)家發(fā)現(xiàn)了WiFi設(shè)備的安全協(xié)議存在漏洞。這個(gè)漏洞影響許多設(shè)備，比如計(jì)算機(jī)、手機(jī)、路由器，幾乎每一款無(wú)線(xiàn)設(shè)備都有可能被攻擊。

漏洞名叫“KRACK”，也就是“Key Reinstallation Attack”（密鑰重安裝攻擊）的縮寫(xiě)，它曝露了WPA2的一個(gè)基本漏洞，WPA2是一個(gè)通用協(xié)議，大多現(xiàn)代無(wú)線(xiàn)網(wǎng)絡(luò)都用到了該協(xié)議。計(jì)算機(jī)安全學(xué)者馬蒂·凡赫爾夫（Mathy Vanhoef）發(fā)現(xiàn)了漏洞，他說(shuō)漏洞存在于四路握手（four-way handshake）機(jī)制中，四路握手允許擁有預(yù)共享密碼的新設(shè)備加入網(wǎng)絡(luò)。

在最糟糕的情況下，攻擊者可以利用漏洞從WPA2設(shè)備破譯網(wǎng)絡(luò)流量、劫持鏈接、將內(nèi)容注入流量中。換言之，攻擊者通過(guò)漏洞可以獲得一個(gè)萬(wàn)能密鑰，不需要密碼就可以訪(fǎng)問(wèn)任何WAP2網(wǎng)絡(luò)。一旦拿到密鑰，他們就可以竊聽(tīng)你的網(wǎng)絡(luò)信息。

漏洞的存在意味著WAP2協(xié)議完全崩潰，影響個(gè)人設(shè)備和企業(yè)設(shè)備，幾乎每一臺(tái)設(shè)備都受到威脅。

凡赫爾夫說(shuō)：“如果你的設(shè)備支持WiFi，極有可能會(huì)受到影響?！辈贿^(guò)凡赫爾夫沒(méi)有公布任何概念驗(yàn)證漏洞利用代碼，暫時(shí)不會(huì)有太大的影響，攻擊也不會(huì)大規(guī)模爆發(fā)。

周一時(shí)，美國(guó)國(guó)土安全局網(wǎng)絡(luò)應(yīng)急部門(mén)US-CERT確認(rèn)了漏洞的存在，早在2個(gè)月前，US-CERT已經(jīng)秘密通知廠(chǎng)商和專(zhuān)家，告訴它們存在這樣的漏洞。在Black Hat安全會(huì)議上，凡赫爾夫發(fā)表關(guān)于網(wǎng)絡(luò)協(xié)議的演講，他在講話(huà)中談到了新漏洞。

針對(duì)KRACK漏洞各大企業(yè)是怎樣應(yīng)對(duì)的呢？下面看看各企業(yè)截至發(fā)稿時(shí)的回應(yīng)：

微軟

微軟于10月10日發(fā)布安全補(bǔ)丁，使用Windows Update的客戶(hù)可以使用補(bǔ)丁，自動(dòng)防衛(wèi)。我們及時(shí)更新，保護(hù)客戶(hù)，作為一個(gè)負(fù)責(zé)任的合作伙伴，我們沒(méi)有披露信息，直到廠(chǎng)商開(kāi)發(fā)并發(fā)布補(bǔ)丁。

蘋(píng)果iOS和Mac

蘋(píng)果證實(shí)iOS、MacOS、WatchOS、TVOS有一個(gè)修復(fù)補(bǔ)丁，在未來(lái)幾周內(nèi)就會(huì)通過(guò)軟件升級(jí)的形式提供給客戶(hù)。

谷歌移動(dòng)/谷歌Chromecast/ Home/ WiFi

我們已經(jīng)知道問(wèn)題的存在，未來(lái)幾周會(huì)給任何受影響的設(shè)備打上補(bǔ)丁。

谷歌Chromebook

暫時(shí)沒(méi)有發(fā)表評(píng)論。

亞馬遜Echo、FireTV和Kindle

我們的設(shè)備是否存在這樣的漏洞？公司正在評(píng)估，如果有必要就會(huì)發(fā)布補(bǔ)丁。

三星移動(dòng)、三星電視、三星家電

暫時(shí)沒(méi)有發(fā)表評(píng)論。

思科

暫時(shí)沒(méi)有發(fā)表評(píng)論。

Linksys/Belkin

Linksys/Belkin和Wemo已經(jīng)知道WAP漏洞的存在。安全團(tuán)隊(duì)正在核查細(xì)節(jié)信息，會(huì)根據(jù)情況提供指導(dǎo)意義。我們一直將客戶(hù)放在第一位，會(huì)在安全咨詢(xún)頁(yè)面發(fā)布指導(dǎo)意見(jiàn)，告訴客戶(hù)如何升級(jí)產(chǎn)品，如果需要就能升級(jí)。

Netgear

最近安全漏洞KRACK曝光，Netgear已經(jīng)知道，KRACK可以利用WPA2安全漏洞發(fā)起攻擊。Netgear已經(jīng)為多款產(chǎn)品發(fā)布修復(fù)程序，正在為其它產(chǎn)品開(kāi)發(fā)補(bǔ)丁。你可以訪(fǎng)問(wèn)我們的安全咨詢(xún)頁(yè)面進(jìn)行升級(jí)。

Netgear高度重視安全問(wèn)題，不斷監(jiān)控自己的產(chǎn)品，及時(shí)了解最新威脅。對(duì)于緊急安全問(wèn)題，我們會(huì)防預(yù)而不是事后采取行動(dòng)，這是Netgear的基本信念。

為了保護(hù)用戶(hù)，Netgear公開(kāi)發(fā)布修復(fù)程序之后才披露漏洞的存在，沒(méi)有提到漏洞的具體信息。一旦有了修復(fù)程序，Netgear會(huì)通過(guò)“Netgear產(chǎn)品安全”頁(yè)面披露漏洞。

Eero

我們已經(jīng)知道WAP2安全協(xié)議存在KRACK漏洞。安全團(tuán)隊(duì)正在尋找解決方案，今天晚些時(shí)候就會(huì)公布更多信息。我們打造了云系統(tǒng)，針對(duì)此種情況可以發(fā)布遠(yuǎn)程更新程序，確保所有客戶(hù)及時(shí)獲得更新軟件，自己不需要采取任何動(dòng)作。

D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia

暫時(shí)沒(méi)有發(fā)表評(píng)論。

英特爾

ICASI和CERT CC已經(jīng)通知英特爾，說(shuō)WPA2標(biāo)準(zhǔn)協(xié)議存在漏洞。英特爾是ICASI的成員，為“協(xié)調(diào)的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”貢獻(xiàn)了自己的力量。

英特爾正在與客戶(hù)、設(shè)備制造商合作，通過(guò)固件和軟件更新的方式應(yīng)對(duì)漏洞。如果想獲得更多信息，可以訪(fǎng)問(wèn)英特爾安全咨詢(xún)頁(yè)面。

AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/聯(lián)想/戴爾/Roku/LG電子/LG移動(dòng)/LG家電/通用電氣

暫時(shí)沒(méi)有發(fā)表評(píng)論。

Nest

我們已經(jīng)知道漏洞的存在，未來(lái)幾周將會(huì)為Nest產(chǎn)品推出補(bǔ)丁。

飛利浦Hue

KRACK攻擊利用了WiFi協(xié)議。我們建議客戶(hù)使用安全WiFi密碼，在手機(jī)、計(jì)算機(jī)及其它WiFi設(shè)備上最新補(bǔ)丁，防范此類(lèi)攻擊。飛利浦Hue本身并不直接支持WiFi，因此不需要防范補(bǔ)丁。還有，我們的云帳戶(hù)API可以用HTTPS進(jìn)行保護(hù)，增強(qiáng)安全，這是一個(gè)額外的安全層，不會(huì)受到KRACK攻擊的影響。

Kwikset/Yale/Schlage/Rachio/iHome/伊萊克斯/Frigidaire/Netatmo/Control4

暫時(shí)沒(méi)有發(fā)表評(píng)論。

Roost

Roost接收或者發(fā)送的數(shù)據(jù)流都用最新的SSL/TLS加密技術(shù)進(jìn)行端到端加密。我們認(rèn)為自己的設(shè)備沒(méi)有風(fēng)險(xiǎn)。建議用戶(hù)聽(tīng)從WiFi Alliance的建議，在Access點(diǎn)使用WiFi加密，安裝最新的軟件補(bǔ)丁。

本文轉(zhuǎn)載自網(wǎng)絡(luò)，如涉版權(quán)請(qǐng)聯(lián)系我們刪除