KRACK 攻击破坏 WPA 协议,让 Wi-Fi 毫无希望地脆弱

自 2003 年以来,Wi-Fi 网络一直由称为 WPA 或 WPA-2 的高度安全协议保护。 该协议保护从 WiFi 路由器传输到计算机、手机、平板电脑、游戏系统或任何其他可能连接的互联网设备的信息。 只要您的 Wi-Fi 密码安全,黑客和间谍就无法注入代码或监视数据——但现在 WPA 14 年的盛名似乎已经结束。 原因? WPA 本身存在一个新的基本缺陷,如果黑客在您的本地半径范围内,该漏洞允许黑客访问您的 Wi-Fi。

这个新缺陷被称为 克拉克,并且它可以让 Wi-Fi 范围内的攻击者轻松注入计算机病毒,或读取从路由器传输到设备的信息。 KRACK 代表 Key Reinstallation Attacks,发现漏洞背后的研究已为专家所知数周,但仅在今天才公开发布。

萨里大学网络安全中心的研究员 Alan Woodward 解释说:“它似乎会影响所有的 Wi-Fi 网络,它是底层协议的一个根本缺陷,即使你做的一切都是正确的。 [your security] 被打破。 [It means] 你不能信任你的网络,你不能假设你的 PC 和路由器之间发生的事情是安全的”

通过使用 KRACK 攻击, 黑客可能会窃取敏感信息,例如密码、信用卡甚至照片。 当然,您可能认为使用 HTTPS 加密的网站是完全安全的。 您可以通过查看 URL 之前的标签来了解您的网站是否使用 HTTPS。 Google Docs、银行网站和其他安全网站使用 HTTPS 加密,但不幸的是,网络上的大多数其他网站都没有。

但事实是,即使使用加密的 HTTPS 网站也可能不足以保护您的数据免受 KRACK 攻击。 根据研究人员的说法,“网站或应用程序可能会使用 HTTPS 作为额外的保护层,我们警告说,在许多令人担忧的情况下,这种额外的保护(仍然)可以被绕过。” 研究人员解释说,HTTPS 之前在“非浏览器软件, 在 苹果的 iOS 和 OS X,在 Android 应用程序中,在 又是安卓应用, 在 银行应用程序”,甚至在 Google Play 商店中的大多数不安全/免费的 VPN 应用程序中也是如此。 每个连接互联网的设备都容易受到攻击,将您的 Wi-Fi 密码更新为安全的密码还不够好。

虽然所有设备都容易受到 KRACK 攻击,但似乎 Android 设备和 Linux 设备可能是最容易受到攻击的。 借助这些设备,黑客可以强制网络解密以更轻松地窃取数据。 目前,有一些即时的 Linux 补丁可用,但目前尚未针对 Wi-Fi 接入点进行分发。

这个问题非常严重,以至于美国计算机应急准备小组发布了警报。

“US-CERT 已经意识到 Wi-Fi Protected Access II (WPA2) 安全协议的 4 次握手中的几个关键管理漏洞。 利用这些漏洞的影响包括解密、数据包重放、TCP 连接劫持、HTTP 内容注入等。 请注意,作为协议级别的问题,标准的大多数或所有正确实现都会受到影响。 CERT/CC 和报告研究员 KU Leuven 将于 2017 年 10 月 16 日公开披露这些漏洞。”

WPA 或 WPA-2 自 2003 年以来就已经存在,但直到现在,它一直保持安全。 这个新的 KRACK 漏洞与流量的加密方式有关。 通常在加密中,有一个握手和一个建立的密钥。 但是,由于 KRACK 攻击漏洞,密钥可以不断重新发送以最终解密加密。

由于 WPA 协议的广泛性,该漏洞不太可能立即修复——如果有的话。 这意味着黑客可以恶意窃听本地 Wi-Fi 连接。 然而, 由于此突发新闻仅在今天发布,因此尚不清楚攻击的广泛程度,因为这些漏洞尚未在野外得到证实。 如果事情失控并且黑客很容易执行攻击,那么整个 Wi-Fi 可能会面临严重的危险。

怎么修?

目前,当今顶级路由器制造商都在争先恐后地发布修复 KRACK Wi-Fi 漏洞的补丁。 为您的路由器安装最新的更新非常重要,因为它一可用。 随着相关 DDWRT、Tomato、OpenWRT 和 ASUSWRT 更新的发布,我们将向我们的用户宣布这一点,并提供更新固件的分步说明。

在您的 WiFi 路由器有可用更新之前,确保隐私的唯一真正解决方案是使用 VPN 来加密从接入点流向计算机的网络流量。 和 TorGuard,我们使用安全的 AES-256 加密,以及多种安全功能,如终止开关,确保您受到强大的 24/7 加密保护。 使用 VPN 时,即使您连接的 WiFi 路由器易受攻击,由于 VPN 隧道被加密,黑客也无法破译任何流量。