新浪科技訊 北京時(shí)間 10 月 17 日早間消息�,有計(jì)算機(jī)安適專家發(fā)現(xiàn)了WiFi設(shè)備的安適協(xié)議存在漏洞。這個(gè)漏洞影響許多設(shè)備�,好比計(jì)算機(jī)、手機(jī)����、路由器,幾乎每一款無(wú)線設(shè)備都有可能被攻擊�。
漏洞名叫“KRACK”,����,也就是“Key Reinstallation Attack”(密鑰重安置攻擊)的縮寫,它曝露了WPA2 的一個(gè)基本漏洞����,WPA2 是一個(gè)通用協(xié)議,大多現(xiàn)代無(wú)線網(wǎng)絡(luò)都用到了該協(xié)議�。計(jì)算機(jī)安適學(xué)者馬蒂·凡赫爾夫(Mathy Vanhoef)發(fā)現(xiàn)了漏洞,他說(shuō)漏洞存在于四路握手(four-way handshake)機(jī)制中�����,四路握手允許擁有預(yù)共享密碼的新設(shè)備加入網(wǎng)絡(luò)。
在最糟糕的情況下���,攻擊者可以利用漏洞從WPA2 設(shè)備破譯網(wǎng)絡(luò)流量����、劫持鏈接��、將內(nèi)容注入流量中��。換言之����,攻擊者通過(guò)漏洞可以獲得一個(gè)萬(wàn)能密鑰��,不需要密碼就可以拜候任何WAP2 網(wǎng)絡(luò)��。一旦拿到密鑰��,他們就可以竊聽你的網(wǎng)絡(luò)信息��。
漏洞的存在意味著WAP2 協(xié)議完全瓦解��,影響個(gè)人設(shè)備和企業(yè)設(shè)備��,幾乎每一臺(tái)設(shè)備都受到威脅。
凡赫爾夫說(shuō):“如果你的設(shè)備支持WiFi�,極有可能會(huì)受到影響?!辈贿^(guò)凡赫爾夫沒(méi)有公布任何概念驗(yàn)證漏洞利用代碼,暫時(shí)不會(huì)有太大的影響���,攻擊也不會(huì)大規(guī)模發(fā)作���。
周一時(shí),美國(guó)國(guó)土安適局網(wǎng)絡(luò)應(yīng)急部門US-CERT確認(rèn)了漏洞的存在�����,早在 2 個(gè)月前����,US-CERT已經(jīng)奧秘通知廠商和專家,告訴它們存在這樣的漏洞���。在Black Hat安適會(huì)議上��,凡赫爾夫頒發(fā)關(guān)于網(wǎng)絡(luò)協(xié)議的演講����,他在講話中談到了新漏洞。
針對(duì)KRACK漏洞各大企業(yè)是怎樣應(yīng)對(duì)的呢?下面看看各企業(yè)截至發(fā)稿時(shí)的回應(yīng):
微軟
微軟于 10 月 10 日發(fā)布安適補(bǔ)丁��,使用Windows Update的客戶可以使用補(bǔ)丁��,自動(dòng)防衛(wèi)�����。我們及時(shí)更新�����,掩護(hù)客戶�,作為一個(gè)負(fù)責(zé)任的合作伙伴�����,我們沒(méi)有披露信息��,直到廠商開發(fā)并發(fā)布補(bǔ)丁���。
蘋果iOS和Mac
蘋果證實(shí)iOS���、MacOS�����、WatchOS��、TVOS有一個(gè)修復(fù)補(bǔ)丁���,在未來(lái)幾周內(nèi)就會(huì)通過(guò)軟件升級(jí)的形式提供給客戶。
谷歌移動(dòng)/谷歌Chromecast/ Home/ WiFi
我們已經(jīng)知道問(wèn)題的存在�����,未來(lái)幾周會(huì)給任何受影響的設(shè)備打上補(bǔ)丁���。
谷歌Chromebook
暫時(shí)沒(méi)有頒發(fā)評(píng)論��。
亞馬遜Echo�、FireTV和Kindle
我們的設(shè)備是否存在這樣的漏洞?公司正在評(píng)估�����,如果有須要就會(huì)發(fā)布補(bǔ)丁�����。
三星移動(dòng)、三星電視���、三星家電
暫時(shí)沒(méi)有頒發(fā)評(píng)論��。
思科
暫時(shí)沒(méi)有頒發(fā)評(píng)論��。
Linksys/Belkin
Linksys/Belkin和Wemo已經(jīng)知道WAP漏洞的存在����。安適團(tuán)隊(duì)正在核查細(xì)節(jié)信息����,會(huì)按照情況提供指導(dǎo)意義。我們一直將客戶放在第一位�,會(huì)在安適咨詢頁(yè)面發(fā)布指導(dǎo)意見�����,告訴客戶如何升級(jí)產(chǎn)品�,如果需要就能升級(jí)。
Netgear
比來(lái)安適漏洞KRACK曝光�����,Netgear已經(jīng)知道,KRACK可以利用WPA2 安適漏洞發(fā)起攻擊�����。Netgear已經(jīng)為多款產(chǎn)品發(fā)布修復(fù)程序����,正在為其它產(chǎn)品開發(fā)補(bǔ)丁。你可以拜候我們的安適咨詢頁(yè)面進(jìn)行升級(jí)�。
Netgear高度重視安適問(wèn)題,不停監(jiān)控本身的產(chǎn)品�����,及時(shí)了解最新威脅����。對(duì)于緊急安適問(wèn)題,我們會(huì)防預(yù)而不是事后采取行動(dòng)�,這是Netgear的基本信念。
為了掩護(hù)用戶���,Netgear公開發(fā)布修復(fù)程序之后才披露漏洞的存在��,沒(méi)有提到漏洞的具體信息����。一旦有了修復(fù)程序,Netgear會(huì)通過(guò)“Netgear產(chǎn)品安適”頁(yè)面披露漏洞����。
Eero
我們已經(jīng)知道WAP2 安適協(xié)議存在KRACK漏洞。安適團(tuán)隊(duì)正在尋找解決方案���,今天晚些時(shí)候就會(huì)公布更多信息����。我們打造了云系統(tǒng)���,針對(duì)此種情況可以發(fā)布遠(yuǎn)程更新程序��,確保所有客戶及時(shí)獲得更新軟件����,本身不需要采取任何動(dòng)作���。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia
暫時(shí)沒(méi)有頒發(fā)評(píng)論����。
英特爾
ICASI和CERT CC已經(jīng)通知英特爾�����,說(shuō)WPA2 尺度協(xié)議存在漏洞�����。英特爾是ICASI的成員��,為“協(xié)調(diào)的漏洞披露(Coordinated Vulnerability Disclosure�����,CVD)”貢獻(xiàn)了本身的力量���。
英特爾正在與客戶���、設(shè)備制造商合作,通過(guò)固件和軟件更新的方式應(yīng)對(duì)漏洞�。如果想獲得更多信息,可以拜候英特爾安適咨詢頁(yè)面�。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/聯(lián)想/戴爾/Roku/LG電子/LG移動(dòng)/LG家電/通用電氣
暫時(shí)沒(méi)有頒發(fā)評(píng)論���。
Nest
我們已經(jīng)知道漏洞的存在,未來(lái)幾周將會(huì)為Nest產(chǎn)品推出補(bǔ)丁���。
飛利浦Hue
KRACK攻擊利用了WiFi協(xié)議�����。我們建議客戶使用安適WiFi密碼���,在手機(jī)、計(jì)算機(jī)及其它WiFi設(shè)備上最新補(bǔ)丁�����,防范此類攻擊���。飛利浦Hue自己并不直接支持WiFi�,因此不需要防范補(bǔ)丁��。還有���,我們的云帳戶API可以用HTTPS進(jìn)行掩護(hù)�����,增強(qiáng)安適���,這是一個(gè)額外的安適層,不會(huì)受到KRACK攻擊的影響����。
Kwikset/Yale/Schlage/Rachio/iHome/伊萊克斯/Frigidaire/Netatmo/Control4
暫時(shí)沒(méi)有頒發(fā)評(píng)論。
Roost
