<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基网 首页 资讯 安全报 查看内容

              WPA3 标准被曝严重漏洞,WiFi 密码可遭窃取?

              2019-4-12 12:15| 投稿: xiaotiger |来自: 互联网


              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

              摘要: 2018 年 1 月 8 日,Wi-Fi 联盟组织发布了新的加密协议—— WPA3 ,随着该协议的最终完成,这也意味着我们的 WLAN 网络更难破解了。不过,正所谓人有错手马有失蹄,即使是号称安全性更上一层楼的 WPA3 标准也未必能100% 杜绝安全隐患的存在。由此来看,想要摘得这史上最牛逼 WLAN 网络的“桂冠”称号, ...

              2018 年 1 月 8 日,Wi-Fi 联盟组织发布了新的加密协议—— WPA3 ,随着该协议的最终完成,这也意味着我们的 WLAN 网络更难破解了。

              不过,正所谓人有错手马有失蹄,即使是号称安全性更上一层楼的 WPA3 标准也未必能100% 杜绝安全隐患的存在。由此来看,想要摘得这史上最牛逼 WLAN 网络的“桂冠”称号,绝非是件容易之事!

              这不,今天就有研究人员在 WPA3 个人版协议中发现了新的漏洞。据悉,该漏洞可能导致潜在攻击者破解 Wi-Fi 密码并获取对联网设备之间交换的加密网络流量的访问。

              而雷锋网也在第一时间关注到了这则消息,为了弄清楚此次 WPA3 漏洞的真?#24471;?#30446;,雷锋网找到了老朋友 360安全研究院的杨芸菲了解情况。

              WPA3 的五个漏洞

              作为 Wi-Fi 身份验证标准 WPA2 技术的后续版本, WPA3 同时兼容 WPA2 标准。同时,新的标准将加密公共 Wi-Fi 网络上的所有数据,可以进一步保护不安全的 Wi-Fi 网络。

              尽管如此,黑客仍然可以通过专门的,主动的攻击来窃取数据。但是, WPA3 至少可以阻止强力攻击。雷锋网得知,此次被曝漏洞一共有五个,其导致的攻击类型可简单分为基于 WPA3 标准的?#23548;?#25915;击、侧信道攻击和拒绝服务攻击三种。详细情况如下:

              1、?#23548;?#25915;击:

              Downgrade to Dictionary Attack :可以使支持 WPA2 / WPA3 的设备强制使用 WPA2 ,接着可以使用对 WPA2 类型的攻击方法。

              Group Downgrade Attack :如果设备支持多种椭圆曲线,可?#20113;?#20351;它使用安全性最弱的一种。

              2、侧信道攻击:

              Cache-Based Side-Channel Attack :如果拥有在受害者设备上执行命令的权限,可以从缓存中确定 WPA3 加密算法中的某些元素。

              Timing-Based Side-Channel Attack:在加密算法中使用了一个迭代?#38382;?iterations )?#38382;?#26469;执行编码,该?#38382;?#20540;由密码、 AP 和?#31361;?#31471;双方 MAC 地址决定。通过计时可能还原出该?#38382;?/p>

              3、拒绝服务攻击:

              Denial-of-Service Attack :伪造大量?#31361;?#31471;发起握手可能消耗掉 AP (无线访问接入点WirelessAccessPoint)的所有资源。

              值?#20204;?#24184;的是,安全人?#24065;?#32463;在第一时间将情况上报给了 Wi-Fi 联盟,并针对受影响的设备厂商展开了一系列部署。目前,尚未发现有 APT 组织利用上述漏洞执行攻击行动,少部分受影响的路由器厂商可以通过补丁来解决。

              漏洞分析

              尽管 WPA3 标准距离正式发布已经过了一年的时间,但 WPA3 - Personal 个人版仍处于市场部署的早期阶段,这也是此次漏洞影响?#27573;?#36739;小的原因。当然,这并不意味着就可以置之不理。

              “目前来看,Downgrade to Dictionary Attack和Denial-of-Service Attack具备一定的实战意义。”杨芸菲称,前者由于向?#24405;?#23481; WPA2 ,可能导致设备遭受 WPA2 层面的一系列攻击;而后者可造成 WPA2 中 De-auth 攻击的类似效果。”

              而关于?#23548;?#25915;击,这?#23548;?#19978;是由于 WPA3 的过渡兼容所导致。WPA3 的路由器和?#31361;?#31471;将会同时也支持 WPA2 ,攻击者可以通过伪造只支持 WPA2 的热点致使?#31361;?#31471;发起 WPA2 握手请求,这会导致泄漏一些握手信息。但是,由于这些握手信息每一?#21619;?#19981;同,目?#23433;?#27809;有发现能直接利用的方式。

              此外,《Dragonblood:对 WPA3 SAE 握手的安全分析》在分享的 WPA3 个人版协议中发现的漏洞开源脚本 Dragonslayer 时明确提及了 WPA2 中针对 EAP-pwd 协议的攻击。

              杨芸菲分析道:“EAP-pwd协议同样采用了WPA3使用的Dragonfly握手,因此也受到漏洞影响。据报告称有使用该协议的大部分产品存在严重缺陷——?#24066;?#20882;充任何用户,在不需要用户密码的情况下访问Wi-Fi网络。目前,还没有公布完整的漏洞细节,市场上也很少有使用EAP-pwd协议的商业产品。

              可以看出,上述攻击的使用场?#23433;?#38750;只局限于 WPA3 标准 ,这也为目前已经大批投入使用的 WPA2 设备敲响了警钟。不得不说,漏洞一旦被被利用,很可能会是一次“降维打击”。

              攻击造成的危害

              ?#25970;矗?#19978;述漏洞如果真的被用于攻击,那用户会受到怎样的伤害呢?

              Wi-Fi 攻击的目的可谓是万变不离其宗。

              “攻击手段无非是强行接入网络和将受害者拉进自己的钓鱼网络两种情况。通过在局域网中进行流量嗅探,对网络中传输的所有明文信息(例如:邮箱、帐号、密码、?#35745;?#25991;字、安装包)进?#35874;?#21462;或篡改。”

              值得注意的是,仅靠目前公布的漏洞还不能完整实现上述的攻击手段,距离形成可用的攻击工具还有些距离。

              话是这?#27492;擔?#20294;?#26085;?#30340;遭受攻击的时候则为?#24065;?#26202;。对设备厂商和用户?#27492;擔?#21450;时进行软件更新必不可少。考虑到设备依?#25442;?#25903;持 WPA2 标准,所以依然要设置高强度的无线密码(以及时常修改密码)。

              ?#25970;矗?#21040;这里我们不禁要问,号称更加安全的 WPA3 真的有我们想象中的?#25970;純科?#21527;?

              采访的最后,杨芸菲总结道:“ WPA3 的普及还需要很长一?#38382;?#38388;,尽管目前其仍然存在一些缺陷,但不可否认的是 WPA3 相比之前的标准( WPA / WPA2 )依然在安全性上有较大提升。我们不应该因噎废?#22330;!?/p>


              小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

              本文出自:https://www.toutiao.com/a6678662372418126349/

              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


              鲜花

              握手

              雷人

              路过

              鸡蛋

              相关阅读

              最新评论

               最新
              返回顶部
              十一选五奖金对照表 贵州快3计划 福彩3d跨度走势图大赢家 浙江飞鱼今天开奖结果 冰球用球 江苏快3走势图一定牛 上海快三推荐三同号推荐 体彩顶呱刮视频文件 572222一尾中特平 街机游戏棒球小子 山东11选5 中国竞彩网500 淘宝现在可以买彩票吗 体育彩票 超级大乐透 陕西快乐十分复式投注表 十一运夺金任选5