新浪科技訊 北京時間 10 月 17 日早間消息����,有計算機安適專家發(fā)現(xiàn)了WiFi設備的安適協(xié)議存在漏洞����。這個漏洞影響許多設備,好比計算機、手機����、路由器�����,幾乎每一款無線設備都有可能被攻擊。
漏洞名叫“KRACK”���,�,也就是“Key Reinstallation Attack”(密鑰重安置攻擊)的縮寫,它曝露了WPA2 的一個基本漏洞,WPA2 是一個通用協(xié)議,大多現(xiàn)代無線網(wǎng)絡都用到了該協(xié)議。計算機安適學者馬蒂·凡赫爾夫(Mathy Vanhoef)發(fā)現(xiàn)了漏洞�����,他說漏洞存在于四路握手(four-way handshake)機制中�,四路握手允許擁有預共享密碼的新設備加入網(wǎng)絡。
在最糟糕的情況下,攻擊者可以利用漏洞從WPA2 設備破譯網(wǎng)絡流量、劫持鏈接����、將內容注入流量中����。換言之�����,攻擊者通過漏洞可以獲得一個萬能密鑰����,不需要密碼就可以拜候任何WAP2 網(wǎng)絡�����。一旦拿到密鑰����,他們就可以竊聽你的網(wǎng)絡信息����。
漏洞的存在意味著WAP2 協(xié)議完全瓦解,影響個人設備和企業(yè)設備,幾乎每一臺設備都受到威脅����。
凡赫爾夫說:“如果你的設備支持WiFi,極有可能會受到影響�?���!辈贿^凡赫爾夫沒有公布任何概念驗證漏洞利用代碼��,暫時不會有太大的影響��,攻擊也不會大規(guī)模發(fā)作��。
周一時,美國國土安適局網(wǎng)絡應急部門US-CERT確認了漏洞的存在�����,早在 2 個月前��,US-CERT已經(jīng)奧秘通知廠商和專家����,告訴它們存在這樣的漏洞�。在Black Hat安適會議上,凡赫爾夫頒發(fā)關于網(wǎng)絡協(xié)議的演講,他在講話中談到了新漏洞�。
針對KRACK漏洞各大企業(yè)是怎樣應對的呢?下面看看各企業(yè)截至發(fā)稿時的回應:
微軟
微軟于 10 月 10 日發(fā)布安適補丁��,使用Windows Update的客戶可以使用補丁,自動防衛(wèi)。我們及時更新�,掩護客戶���,作為一個負責任的合作伙伴����,我們沒有披露信息�,直到廠商開發(fā)并發(fā)布補丁。
蘋果iOS和Mac
蘋果證實iOS��、MacOS����、WatchOS��、TVOS有一個修復補丁����,在未來幾周內就會通過軟件升級的形式提供給客戶�。
谷歌移動/谷歌Chromecast/ Home/ WiFi
我們已經(jīng)知道問題的存在,未來幾周會給任何受影響的設備打上補丁�。
谷歌Chromebook
暫時沒有頒發(fā)評論�。
亞馬遜Echo����、FireTV和Kindle
我們的設備是否存在這樣的漏洞?公司正在評估,如果有須要就會發(fā)布補丁�。
三星移動���、三星電視�、三星家電
暫時沒有頒發(fā)評論��。
思科
暫時沒有頒發(fā)評論�。
Linksys/Belkin
Linksys/Belkin和Wemo已經(jīng)知道WAP漏洞的存在���。安適團隊正在核查細節(jié)信息�,會按照情況提供指導意義。我們一直將客戶放在第一位����,會在安適咨詢頁面發(fā)布指導意見��,告訴客戶如何升級產(chǎn)品,如果需要就能升級���。
Netgear
比來安適漏洞KRACK曝光,Netgear已經(jīng)知道�����,KRACK可以利用WPA2 安適漏洞發(fā)起攻擊��。Netgear已經(jīng)為多款產(chǎn)品發(fā)布修復程序,正在為其它產(chǎn)品開發(fā)補丁。你可以拜候我們的安適咨詢頁面進行升級。
Netgear高度重視安適問題�����,不停監(jiān)控本身的產(chǎn)品�,及時了解最新威脅。對于緊急安適問題,我們會防預而不是事后采取行動,這是Netgear的基本信念。
為了掩護用戶��,Netgear公開發(fā)布修復程序之后才披露漏洞的存在�,沒有提到漏洞的具體信息。一旦有了修復程序�,Netgear會通過“Netgear產(chǎn)品安適”頁面披露漏洞�。
Eero
我們已經(jīng)知道WAP2 安適協(xié)議存在KRACK漏洞。安適團隊正在尋找解決方案,今天晚些時候就會公布更多信息。我們打造了云系統(tǒng),針對此種情況可以發(fā)布遠程更新程序�����,確保所有客戶及時獲得更新軟件����,本身不需要采取任何動作。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia
暫時沒有頒發(fā)評論��。
英特爾
ICASI和CERT CC已經(jīng)通知英特爾���,說WPA2 尺度協(xié)議存在漏洞�����。英特爾是ICASI的成員����,為“協(xié)調的漏洞披露(Coordinated Vulnerability Disclosure����,CVD)”貢獻了本身的力量����。
英特爾正在與客戶、設備制造商合作�,通過固件和軟件更新的方式應對漏洞�����。如果想獲得更多信息,可以拜候英特爾安適咨詢頁面。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/聯(lián)想/戴爾/Roku/LG電子/LG移動/LG家電/通用電氣
暫時沒有頒發(fā)評論�����。
Nest
我們已經(jīng)知道漏洞的存在��,未來幾周將會為Nest產(chǎn)品推出補丁��。
飛利浦Hue
KRACK攻擊利用了WiFi協(xié)議。我們建議客戶使用安適WiFi密碼,在手機��、計算機及其它WiFi設備上最新補丁�,防范此類攻擊。飛利浦Hue自己并不直接支持WiFi,因此不需要防范補丁����。還有���,我們的云帳戶API可以用HTTPS進行掩護�,增強安適�,這是一個額外的安適層,不會受到KRACK攻擊的影響����。
Kwikset/Yale/Schlage/Rachio/iHome/伊萊克斯/Frigidaire/Netatmo/Control4
暫時沒有頒發(fā)評論。
Roost
