已經成為生活不可或缺的 Wi-Fi 最近發現名為 KRACKs 的保安漏洞,危及絕大部分 Wi-Fi 裝置的安全。據知 Microsoft 經已在 10 月 10 日推出的更新中修正有關漏洞,但 Apple 相關的 OS 和 Android 就要在數星期內才有更新推出。
據在比利時荷蘭語天主教魯汶大學研究網絡安全的 Mathy Vanhoef 指出,在負責管理 Wi-Fi 加密的 WPA2 保安協定裡發現幾個漏洞,他以 KRACKs (金鑰重裝攻擊, Key Reinstallation Attacks )為代號,指出駭客可以利用這種攻擊來入侵網絡。在歐洲黑帽子大會的網站上已披露了有關漏洞的簡介,並會在今年 12 月舉行的大會上作簡介。
[row][double_paragraph]
[/double_paragraph][double_paragraph]
[/double_paragraph] [/row]
本來 WPA2 是被視為保安程度較高的 Wi-Fi 加密機制,現在 WPA2 被破解,代表駭客可以在沒有密碼的情況下輕易連接 Wi-Fi AP ,入侵區域網絡內部的 PC 、 手機以至 IoT 機器。由於這是協定層級的漏洞,所以不論你有沒有做足防範措施和更新,使用個人或企業 WPA2,同樣會受到影響。
幸好的是現時被發現漏洞的是用來管理加密鍵的 WPA2 協定,而不是用來進行加密的 AES 演算法。而暫時仍未有證據證明這個漏洞已被駭客利用。 Mathy Vanhoef 在說明這個漏洞的網站上指出應付這次漏洞的幾點:
- 應更新所有裝置;
- 沒有必要改變 Wi-Fi 密碼;
- 由於這漏洞只針對「 4 路握手( 4-way handshake )」流程,部分路由器或許不需要作保安更新,詳情應向生產商查詢;
- 不應該因為未有更新檔推出而暫時轉用 WEP 加密,應該繼續使用 WPA2 ,因為它仍是現時最安全的 Wi-Fi 保安協定;
而香港電腦保安事故協調中心就加入了以下解決方案:
- 使用 SSL/TLS 來加密敏感資料。有需要時使用 VPN 方案作資料傳輸;
- 切勿使用公共 Wi-Fi 處理敏感資料;
- 考慮使用有線網絡或流動數據;
由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決,而各大廠商已陸續推出相關的靭體更新。大家要注意這個漏洞是雙方向的,所以除了要更新 Wi-Fi 路由器的靭體之外,電腦和手機的 OS 也要進行更新。問題是商場餐廳或公共交通工具等公共 Wi-Fi 會不會做有關更新就不得而知。
據知 Microsoft 已經在 10 月 10 日推出的更新中修訂了有關漏洞,而 Apple 旗下的多個 OS : iOS 、 tvOS 、 watchOS 、 macOS 的更新都已經進入 Beta 階段,正式版預計在數星期內推出,而他們出品的 AirPort 系列無線路由器和 Time Capsule 就不受今次漏洞影響。而 Google 方面就表示會在數星期內為所有受影響平台推出修正檔,而 Pixel 手機就會在 11 月 6 日推出的每月更新中修訂有關問題。
[row][double_paragraph]
[/double_paragraph][double_paragraph]
[/double_paragraph] [/row]