专家指,不法之徒可能利用漏洞,从Wi-Fi数据传输截取密码、信用卡、电邮及其他本应加密的讯息,或者在用户瀏览的网站內加入恶意软件,不论政府、企业或家用Wi-Fi网络均有受入侵风险。专家建议用家马上更新所有无线上网装置及路由器,以保安全。
名为「密钥重装攻击」(KRACK)的漏洞最初由比利时勒芬大学的专家发现,他们將这消息对外封锁了数周,让各大企业研发补救措施。
微软表示,上周发佈的安全性更新修復有关漏洞,已安装或开启自动更新的用户可受保护。至於苹果公司及研发Android系统的谷歌(Google)则表示,將於数周內推出更新,各大网络路由器生產商据报亦陆续发佈更新档。
恐遭骇客勒索植木马
勒芬大学研究员范赫夫指,KRACK並不会盗取用户的Wi-Fi密码,它主要针对WPA2协议的「四次握手」加密过程,强制將用家装置的密码设置为全部零,令所有经Wi-Fi传输的资料变成「不设防」,供骇客任意读取。在个別情况下,骇客甚至可向用户的装置植入勒索程式或木马程式等恶意软件。
一般而言,用家若瀏览经加密网站(网址前缀为HTTPS://),所有传输的数据將获额外加密,不会因为KRACK而被读取。不过范赫夫提醒,个別网站的HTTPS协议存在漏洞,未必能够加密资料,加上一些手机程式可能不支援HTTPS,因此仍不能掉以轻心。
专家强调,骇客必须在用家的Wi-Fi网络附近,才可以使用KRACK攻击,意味家庭Wi-Fi用户受影响的机会较小,相反政府或大企业的公用Wi-Fi则风险最高。暂时未知道骇客经KRACK发动攻击的难度有多高,亦不知是否已发生过相关袭击。
WPA2已经有13年歷史,芬兰网络保安公司F-Secure指出,专家向来关注Wi-Fi能否应付21世纪网络安全的挑战,代表业界的Wi-Fi联盟则强调,只要安装软件更新便可解决问题。