Wi-Fi WPA2 加密崩壞、資料外洩風暴!iOS、Android、PC 等所有裝置都暴露在 KRACK 攻擊風險中

今日驚爆大家最常使用的 Wi-Fi 傳出重大漏洞!這次漏洞被命名為「Key Reinstallation Attacks(密鑰重安裝攻擊)」,簡稱「KRACKs」,藏身在 Wi-Fi 加密協定 WPA2 裡面,一旦駭客發動攻擊就能輕鬆攔截取得加密傳送的 Email、密碼…等資訊,最重要的是不管你是 iOS、Android 或 Windows 系統平台,只要是使用 WPA2 的裝置都有被駭的風險。

為什麼要在乎 KRACKs 漏洞?

隨著網路科技愈來愈發達,許多過去以為安全的機制也傳出了有漏洞,這次 KRACKs 漏洞雖然還沒傳出全球性攻擊的災難消息,導致很多人沒有警覺性。

KRACKs 是攻擊主流的 Wi-Fi 加密協定「WPA2」漏洞,也是最多裝置使用的加密協定,假若有攻擊者利用這個漏洞攻擊時,就能輕鬆攔截並取得 Wi-Fi 網路正在傳輸的資料,尤其 WPA2 傳輸也會傳送付款資料,一旦駭客順利攔截資料,輕則植入惡意程式,重則還能竄改、偽造付款/轉帳帳號。

對此,美國政府電腦應變中心(Computer Emergency Response Team)也發布安全警示,指出這次漏洞主要在於加密協定,所有執行標準協定的裝置都可能受影響。簡單來說,就是說有幾乎所有手機、平板、電腦、智慧家電,甚至需要網路連線的醫療器材都會受到影響。所以說,如果這個漏洞真的被攻擊,那可就是全球重要問題,使用者們還是要多注意喔!

這個漏洞是誰發現的?

這次漏洞是由比利時 KU Leuven(魯汶大學)IMEC-DistriNet 研究專家 Mathy Vanhoef 及 Frank Piessens 發現,為了讓業者能搶時間在駭客知道前修補漏洞,先保密了數個星期才對外公布,同時也利用概念驗證攻擊,破解 Android 手機的 Wi-Fi 加密機制,進而取得資料。

 

我應該要怎麼辦?

截至 10 月 17 日止,賽門鐵克公司還沒有追蹤到任何攻擊,但這不表示駭客不會利用這個漏洞進行攻擊,尤其根據研究發現,若裝置採用 wpa_supplicant 加密元件 2.4 版本以上,會別容易被攻擊與入侵,而這類元件版本又以 Linux 和 Android 系統最常使用,其中 Android 系統手機可能有超過 41% 容易被駭。

為了要保護自己的裝置與資料,無論是個人或企業使用者,最基本保護工作要從「更新」開始,更新 Wi-Fi 路由器、分享器、基地台…等裝置的韌體修補程式,手機/平板系統更新、Windows 等系統修補軟體釋出…等。

如果你的裝置廠商還沒有推出修補工具的話,建議先關閉中繼的 Wi-Fi 的用戶連線功能、關係 802.11r(fast roaming),暫時選擇乙太網路連線,才能保護安全唷!

哪些公司的系統/裝置已經釋出更新了??

  • ADTRAN:在公司討論區上公告一切正在調查中,並會 Email 安全通知給所有已經註冊的用戶。
  • Arch Linux:推出了 wpa_supplicant 和 hostapd 的更新。
  • Apple:援引 AppleInsider 的文章, Apple 在 10 月 23 日星期一前夕,將會發表最新的系統更新。
  • D-LINK:還沒發佈補丁程式,但已經有先提供說明了。
  • Fortinet:FortiAP 5.6.1 已經修復了這項漏洞了。
  • Google:根據研究,Android 6.0 及以上版本最容易受到攻擊,而目前 Google 表示會在未來幾週內修補所有漏洞。
  • Intel 英特爾:已經公佈部份 Wi-Fi 裝置專用補丁了。
  • Microsoft 微軟:日前 10 月 10 日的補丁已經修復這個漏洞了。
  • Netgear:提供 KRACK 和相關更新影響的產品列表,補丁預計下星期發布。

除了這幾家公司之外,還有不少家公司都有推出相關補丁,也有些目前還在等待中,但為了大家的電腦與個人資料安全,呼籲一定要更新韌體或修補程式才行喔!

延伸閱讀:

2017年上半年資安總評:勒索病毒、變臉詐騙猖獗 IoT攻擊數量不斷攀升

新舊型態資安犯罪猖獗,8成企業組織仍未具備充足資安防禦知識

情色霸主 Pornhub 被駭!一年內逛過網站可能中毒(含解毒方法)

快檢查你的 Chrome!3.7 萬 用戶安裝到冒牌 Adblock Plus 插件

台灣成駭客目標,超過2千萬次攻擊幾近總人口數!

知名清理軟體「CCleaner」被駭,受害人數超過破百萬!

藍牙驚爆漏洞!全球 53 億裝置中獎,只要駭客靠近就會被綁架

中東及北非地下市場研究,惡意程式和駭客工具價格比其他地區更貴

圖片及資料來源:BleepingComputerMathy Vanhoef


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

標籤: