广告

WiFi被曝重大漏洞,所有电子设备无一幸免

2021-05-13 阅读:
近日,比利时荷语鲁汶大学Mathy Vanhoef教授在他的博客中公开了一项WiFi重大漏洞,并实况演示了这些漏洞会造成怎样的严重后果。据称,新发现的漏洞被称为“易碎攻击”,涉及基本所有的WiFi安全协议,包括最新的WPA3规范。甚至WiFi的原始安全协议,即WEP,也在其中。

近日,比利时荷语鲁汶大学Mathy Vanhoef教授在他的博客中公开了一项WiFi重大漏洞,并实况演示了这些漏洞会造成怎样的严重后果。Mxgednc

据称,新发现的漏洞被称为“易碎攻击”,由于源自WiFi标准而被广泛传播,其中一些错误可以追溯到1997年。Mxgednc

这次发现的漏洞,涉及基本所有的WiFi安全协议,包括最新的WPA3规范。Mxgednc

甚至WiFi的原始安全协议,即WEP,也在其中。Mxgednc

漏洞有多严重?

毫不夸张地说,手机、电脑,还是智能音箱、手表这类AI设备,无一幸免。Mxgednc

首先是通过WiFi截取关键的账号和密码。Mxgednc

利用漏洞,黑客锁定目标WiFi,然后“克隆”一个特征完全相同的网络。Mxgednc

Mxgednc

然后,给受害者发一封链接WiFi的认证邮件或短信,其中包含一张“人畜无害”的图片,受害者在加载时,会自动收到一个TCP包。Mxgednc

而这个TCP包,会在原有的WiFi协议框架里注入新的帧,受害者下一次打开WiFi连接时,就会自动连上假WiFi。Mxgednc

接着,黑客只需要使用Wireshark这种抓包工具,就能截取使用者在网络上收发的信息。Mxgednc

Mxgednc

基本上,你在网络上输入账号密码这类操作,相当于“实况直播”给了黑客。Mxgednc

当然,这种手段最适合机场、酒店这种公共场合WiFi。Mxgednc

但是,攻击者也可以多花一些功夫,伪装成网络运营商给家庭WiFi用户发邮件。Mxgednc

第二种威胁,是攻击者直接利用WiFi远程获取设备使用权限,比如电脑、智能音响,监控摄像等等。Mxgednc

演示中,Vanhoef以一个可以连接WiFi进行远程控制的智能台灯为例。Mxgednc

首先,他先通过使用同一WiFi的苹果Mac电脑追踪到目标IP地址,由于WiFi协议中的漏洞,甚至不用知道WiFi密码,就能远程操控设备:Mxgednc

Mxgednc

试想一下,如果黑客操控的是家中的智能家居、或智能音箱这类带有摄像录音功能的设备,会有多么可怕的后果。Mxgednc

最后,利用这些漏洞,攻击者还可以实现非常复杂的黑客操作。Mxgednc

Mxgednc

因为这些漏洞存在于协议底层,意味着即使不接入公共网络,仅在局域网的设备也面临风险。Mxgednc

比如演示中的目标是一台隔绝于外网的Win7系统电脑。Mxgednc

攻击者只要同样接入这个局域网,就能利用漏洞直接击穿路由防火墙,把程序植入目标电脑。Mxgednc

接下来,在受害者电脑上的一举一动,都被实时直播:Mxgednc

Mxgednc

而且,攻击者还能远程夺取控制权,或者悄悄植入程序。Mxgednc

如何自检?

在博客中 Vanhoef 贴出了具体的分析结果,而且和 2017 年发现 Krack Attack 时一样,他也将自己的发现分享给了 WiFi 联盟。Mxgednc

在过去九个月中,该组织一直在与多家设备厂商合作,希望通过更新来解决相关问题。Mxgednc

比如说微软,已经在 3 月 9 日发布的 Windows 更新中抓掉了部分 bug,Linux 的补丁也即将到来,另外 Cisco、Juniper Networks、Sierra Wireless 和 HPE/Aruba Networks 也已经启动了补丁程序的开发。Mxgednc

此外,Mathy Vanhoef专门开发出了测试工具,可以检验设备是否存在前面所说的漏洞。Mxgednc

还在Github上贴出了所有漏洞标识符。Mxgednc

既然不能改WiFi协议,唯一的方法就是升级设备了。Mxgednc

目前升级程序还在制作中,不久就会放出来。Mxgednc

漏洞列表:Mxgednc
https://github.com/vanhoefm/fragattacks/blob/master/SUMMARY.mdMxgednc

漏洞测试工具:Mxgednc
https://github.com/vanhoefm/fragattacksMxgednc

(本文参考来源:量子位、ZAKER、网易)Mxgednc

责编:DemiMxgednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 监控器频发错误警报,竟由香蕉辐射引起? 我曾在美国核工业集团工作,设计用于核污染测试仪的电子系统,包括大门、袋装垃圾和车辆的监控器。在南非,我们安装了一台监控器在一家钢厂的火车轨道支线上,距主干线约100英尺。但是,有时候哪怕并没有火车通过,监控器也会发出警报......
  • 思特威推出400万像素高阶成像系列升级图像传感器产品 作为一款赋能“全天候AI相机”的产品,思特威SC450AI除在安防智视终端摄像头领域大有作为外,更可在智能门铃、穿戴式摄像头及家用监护型摄像头等全天候物联网AI相机设备中大显身手。
  • Silicon Labs的Secure Vault物联网安全解决方案获全球 屡获殊荣的低功耗SoC助力物联网产品免受软件和硬件攻击,以保护其知识产权、生态系统和品牌信任度
  • F-35驾驶舱的优点和缺点 F-35是美国最新一代战斗机,对于飞行员来说,借用现在互联网流行的一句话:其舒适体验感如何呢?我们来看看该战斗机驾驶舱的优点和缺点。
  • 离自动驾驶只差一步,谁还需要驾驶员监控系统? 人们普遍认为特斯拉离自动驾驶的理想未来只差简单的空中更新这一步了,而忽略了基于视觉的驾驶员监控系统(DMS)技术的发展。特斯拉都已经进入“全自动驾驶”的最后冲刺阶段了,谁还需要DMS来监控驾驶员的参与呢?
  • 无人机远程识别有什么用?美国FAA公布UAV Remote ID最终 笔者曾在2015年就提出过无人机识别规范,以便于政府监管机构对消费类、民用类等低空无人机的识别,在与大型民用飞机或者军用飞机“相遇”时进行有效应对。美国联邦航空管理局最近就公布了无人机Remote ID的最终规则。其实,随着低空无人机的发展,世界各国特别是中美都在制定各自或通用的无人机识别机制。那么,时隔五年了,这个机制怎么样了?
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了