新浪科技訊 北京時間10月17日早間消息����,有計算機(jī)安全專家發(fā)現(xiàn)了WiFi設(shè)備的安全協(xié)議存在漏洞����。這個漏洞影響許多設(shè)備,比如計算機(jī)����、手機(jī)����、路由器�,幾乎每一款無線設(shè)備都有可能被攻擊��。
漏洞名叫“KRACK”,也就是“Key Reinstallation Attack”(密鑰重安裝攻擊)的縮寫����,它曝露了WPA2的一個基本漏洞�,WPA2是一個通用協(xié)議����,大多現(xiàn)代無線網(wǎng)絡(luò)都用到了該協(xié)議��。計算機(jī)安全學(xué)者馬蒂·凡赫爾夫(Mathy Vanhoef)發(fā)現(xiàn)了漏洞�����,他說漏洞存在于四路握手(four-way handshake)機(jī)制中,四路握手允許擁有預(yù)共享密碼的新設(shè)備加入網(wǎng)絡(luò)����。
在最糟糕的情況下���,攻擊者可以利用漏洞從WPA2設(shè)備破譯網(wǎng)絡(luò)流量����、劫持鏈接����、將內(nèi)容注入流量中�����。換言之���,攻擊者通過漏洞可以獲得一個萬能密鑰,不需要密碼就可以訪問任何WAP2網(wǎng)絡(luò)��。一旦拿到密鑰����,他們就可以竊聽你的網(wǎng)絡(luò)信息���。
漏洞的存在意味著WAP2協(xié)議完全崩潰��,影響個人設(shè)備和企業(yè)設(shè)備��,幾乎每一臺設(shè)備都受到威脅。
凡赫爾夫說:“如果你的設(shè)備支持WiFi����,極有可能會受到影響�������!辈贿^凡赫爾夫沒有公布任何概念驗證漏洞利用代碼��,暫時不會有太大的影響�����,攻擊也不會大規(guī)模爆發(fā)�。
周一時�����,美國國土安全局網(wǎng)絡(luò)應(yīng)急部門US-CERT確認(rèn)了漏洞的存在��,早在2個月前��,US-CERT已經(jīng)秘密通知廠商和專家�����,告訴它們存在這樣的漏洞。在Black Hat安全會議上���,凡赫爾夫發(fā)表關(guān)于網(wǎng)絡(luò)協(xié)議的演講���,他在講話中談到了新漏洞。
針對KRACK漏洞各大企業(yè)是怎樣應(yīng)對的呢���?下面看看各企業(yè)截至發(fā)稿時的回應(yīng):
微軟
微軟于10月10日發(fā)布安全補(bǔ)丁��,使用Windows Update的客戶可以使用補(bǔ)丁,自動防衛(wèi)�����。我們及時更新��,保護(hù)客戶��,作為一個負(fù)責(zé)任的合作伙伴�,我們沒有披露信息��,直到廠商開發(fā)并發(fā)布補(bǔ)丁����。
蘋果iOS和Mac
蘋果證實iOS�、MacOS�、WatchOS、TVOS有一個修復(fù)補(bǔ)丁����,在未來幾周內(nèi)就會通過軟件升級的形式提供給客戶。
谷歌移動/谷歌Chromecast/ Home/ WiFi
我們已經(jīng)知道問題的存在,未來幾周會給任何受影響的設(shè)備打上補(bǔ)丁��。
谷歌Chromebook
暫時沒有發(fā)表評論����。
亞馬遜Echo�、FireTV和Kindle
我們的設(shè)備是否存在這樣的漏洞�����?公司正在評估��,如果有必要就會發(fā)布補(bǔ)丁�。
三星移動��、三星電視�����、三星家電
暫時沒有發(fā)表評論���。
思科
暫時沒有發(fā)表評論����。
Linksys/Belkin
Linksys/Belkin和Wemo已經(jīng)知道WAP漏洞的存在���。安全團(tuán)隊正在核查細(xì)節(jié)信息�����,會根據(jù)情況提供指導(dǎo)意義�����。我們一直將客戶放在第一位���,會在安全咨詢頁面發(fā)布指導(dǎo)意見��,告訴客戶如何升級產(chǎn)品,如果需要就能升級�����。
Netgear
最近安全漏洞KRACK曝光�����,Netgear已經(jīng)知道��,KRACK可以利用WPA2安全漏洞發(fā)起攻擊。Netgear已經(jīng)為多款產(chǎn)品發(fā)布修復(fù)程序�,正在為其它產(chǎn)品開發(fā)補(bǔ)丁。你可以訪問我們的安全咨詢頁面進(jìn)行升級���。
Netgear高度重視安全問題�,不斷監(jiān)控自己的產(chǎn)品�,及時了解最新威脅���。對于緊急安全問題,我們會防預(yù)而不是事后采取行動�����,這是Netgear的基本信念��。
為了保護(hù)用戶�,Netgear公開發(fā)布修復(fù)程序之后才披露漏洞的存在,沒有提到漏洞的具體信息。一旦有了修復(fù)程序�����,Netgear會通過“Netgear產(chǎn)品安全”頁面披露漏洞��。
Eero
我們已經(jīng)知道WAP2安全協(xié)議存在KRACK漏洞����。安全團(tuán)隊正在尋找解決方案�����,今天晚些時候就會公布更多信息�。我們打造了云系統(tǒng)���,針對此種情況可以發(fā)布遠(yuǎn)程更新程序,確保所有客戶及時獲得更新軟件�,自己不需要采取任何動作。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia
暫時沒有發(fā)表評論���。
英特爾
ICASI和CERT CC已經(jīng)通知英特爾���,說WPA2標(biāo)準(zhǔn)協(xié)議存在漏洞���。英特爾是ICASI的成員,為“協(xié)調(diào)的漏洞披露(Coordinated Vulnerability Disclosure����,CVD)”貢獻(xiàn)了自己的力量�����。
英特爾正在與客戶��、設(shè)備制造商合作�����,通過固件和軟件更新的方式應(yīng)對漏洞。如果想獲得更多信息��,可以訪問英特爾安全咨詢頁面。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/聯(lián)想/戴爾/Roku/LG電子/LG移動/LG家電/通用電氣
暫時沒有發(fā)表評論。
Nest
我們已經(jīng)知道漏洞的存在,未來幾周將會為Nest產(chǎn)品推出補(bǔ)丁��。
飛利浦Hue
KRACK攻擊利用了WiFi協(xié)議。我們建議客戶使用安全WiFi密碼��,在手機(jī)����、計算機(jī)及其它WiFi設(shè)備上最新補(bǔ)丁�,防范此類攻擊���。飛利浦Hue本身并不直接支持WiFi,因此不需要防范補(bǔ)丁。還有����,我們的云帳戶API可以用HTTPS進(jìn)行保護(hù)�,增強(qiáng)安全�,這是一個額外的安全層��,不會受到KRACK攻擊的影響����。
Kwikset/Yale/Schlage/Rachio/iHome/伊萊克斯/Frigidaire/Netatmo/Control4
暫時沒有發(fā)表評論。
Roost
Roost接收或者發(fā)送的數(shù)據(jù)流都用最新的SSL/TLS加密技術(shù)進(jìn)行端到端加密�����。我們認(rèn)為自己的設(shè)備沒有風(fēng)險�。建議用戶聽從WiFi Alliance的建議,在Access點(diǎn)使用WiFi加密�����,安裝最新的軟件補(bǔ)丁���。(星海)
關(guān)注樓主