最近,，WiFi 網(wǎng)絡(luò)安全協(xié)議WAP/WAP2 存在漏洞的消息傳遍了整個(gè)網(wǎng)絡(luò)，業(yè)界為之震驚,。我們使用了 13 年的無(wú)線網(wǎng)絡(luò)加密協(xié)議突然傳來(lái)被攻破的消息,，安全感頓失，正是急需設(shè)備廠商們快速反應(yīng)的時(shí)候,，蘋(píng)果沒(méi)讓大家失望,。

WPA2加密協(xié)議失守

WPA2，全稱 Wireless Application Protocol 2.0，是全球幾乎所有路由的默認(rèn)安全加密手段,?？梢苑乐篃o(wú)線路由器和聯(lián)網(wǎng)設(shè)備被黑客入侵，是一種廣泛應(yīng)用的網(wǎng)絡(luò)傳播過(guò)程中的安全防護(hù)機(jī)制,。北京時(shí)間 16 日晚上,，WPA2 漏洞被公開(kāi)，從 CVE 編號(hào)數(shù)量來(lái)看公布的漏洞有十個(gè)之多,。發(fā)現(xiàn)該漏洞的比利時(shí)魯汶大學(xué)研究人員 Mathy Vanhoef 在自己建立的用以解釋該問(wèn)題的網(wǎng)站上演示了這種破解方法,，稱之為“密碼重置攻擊”（KRACK）。

利用該漏洞的攻擊方式是,，生成一個(gè)克隆的無(wú)線網(wǎng)絡(luò),，以不安全的形式重設(shè)受害設(shè)備的密鑰，從而暴露之前通過(guò) WPA2 加密的任何信息,。WPA2 被攻破,，黑客就可以看到通過(guò)該無(wú)線網(wǎng)絡(luò)傳輸?shù)拿艽a或其他敏感信息，意味著在你家或辦公室 WiFi 物理覆蓋范圍內(nèi)的攻擊者,，都可以向破解并發(fā)動(dòng)入侵，監(jiān)聽(tīng)網(wǎng)絡(luò)活動(dòng),、攔截不安全或未加密的數(shù)據(jù)流,。就在 17 日下午，研究團(tuán)隊(duì)又披露了一種專門(mén)針對(duì) Android 6.0 及以上版本的移動(dòng)操作系統(tǒng)的攻擊類型,，有近 50% 的活躍設(shè)備受到 WPA2 漏洞的影響,。除了 Android，許多 Linux 發(fā)行版也面臨著同樣的威脅,，因?yàn)樾掳娴?wpa_supplicant 應(yīng)用程序會(huì)成為 KRACK 攻擊的幫兇,，讓攻擊者無(wú)需獲知網(wǎng)絡(luò)的 WPA2 預(yù)分享密鑰（PSK）、即可輕松攔截加密無(wú)線通信,。預(yù)計(jì) Google 會(huì)很快通過(guò)安全補(bǔ)丁來(lái)修復(fù)當(dāng)前支持的設(shè)備漏洞,。

無(wú)線網(wǎng)絡(luò)安全彈指而破？

這對(duì)業(yè)界來(lái)說(shuō)絕對(duì)是一個(gè)悲催的消息,，WPA2 加密協(xié)議在 WiFi 網(wǎng)絡(luò)中的作用,，是讓資料封包在無(wú)線網(wǎng)絡(luò)傳送的時(shí)候，透過(guò)加密讓其他人就算是攔截了封包,，因?yàn)闊o(wú)法解密也無(wú)法解析讀到里面的資料,。因此，如果 WPA2 加密協(xié)議真的被破解的話,，這就表示任何人只要在你的 WiFi 覆蓋范圍,，都可以知道你現(xiàn)在在網(wǎng)絡(luò)上進(jìn)行的活動(dòng)，甚至是你與其他人 LINE、FB 上傳的訊息,，你在網(wǎng)站上輸入了什么內(nèi)容,。雖然經(jīng)常能曝出網(wǎng)絡(luò)安全這樣那樣的漏洞，但 WAP2 加密協(xié)議被破還是足以震驚業(yè)界,，因?yàn)檫@項(xiàng)加密協(xié)議形式已經(jīng)存在了差不多 13 年,，被全球廣泛用之，其被破解的影響可能覆蓋了從設(shè)備廠商,、企業(yè),、組織到普通用戶，令人難以接受,。

另外,，這是一起安全協(xié)議等級(jí)的事件，大部分的安全標(biāo)準(zhǔn)都將有可能被影響,。攻擊者在聯(lián)網(wǎng)設(shè)備和無(wú)線接入點(diǎn)之間讀取到無(wú)線通信協(xié)議,，甚至還能將其修改，把惡意軟件嵌入到網(wǎng)站中,，macOS,、Windows、iOS,、Android 和 Linux 都不能躲避這個(gè)漏洞,，而現(xiàn)行的安全標(biāo)準(zhǔn)無(wú)法馬上更新，有些甚至可能根本不會(huì)更新,，因此,，這次發(fā)現(xiàn)的漏洞的潛在風(fēng)險(xiǎn)可能非常大。當(dāng)然了,，并不是 WAP2 被攻破所有的信息就變得不安全,，根據(jù)美國(guó)國(guó)土安全部（Department of Homeland Security）旗下的美國(guó)電腦緊急應(yīng)變小組（US-CERT）表示，由于有心人士可以讀取的是透過(guò) WPA2 加密的內(nèi)容,，如果你使用的通訊工具或是其它軟件也有加密功能的話,，還是可以確保資料的安全。比如說(shuō)現(xiàn)在的傳輸,、通訊軟件基本都有進(jìn)階加密模式,，在這種情況下，黑客就算解開(kāi)了 WPA2 的加密,，依然無(wú)法讀取你的內(nèi)容,。

蘋(píng)果迅速推出補(bǔ)丁對(duì)應(yīng)

目前普通用戶能做的事情只有等待廠商能及時(shí)發(fā)布安全更新修復(fù)，包括無(wú)線路由器和你所使用的 WiFi 設(shè)備,，這是設(shè)備制造商需要立即解決的一個(gè)嚴(yán)重問(wèn)題,。17 日凌晨,，蘋(píng)果在最快的時(shí)間，通過(guò) iOS 11.1,、watchOS 4.1 和 tvOS 11.1 的新測(cè)試版以更新安全補(bǔ)丁方式修復(fù)了 WPA2 WiFi 安全漏洞,。測(cè)試版目前向開(kāi)發(fā)者推送，很快將普及到全部用戶,。

安裝了新的補(bǔ)丁之后,，攻擊者將無(wú)法在運(yùn)行 iOS、macOS,、tvOS 和 watchOS 的蘋(píng)果設(shè)備上使用 KRACK 進(jìn)行攻擊,，即使是目標(biāo)設(shè)備連接到一個(gè)仍然脆弱的路由器或接入點(diǎn)時(shí)也無(wú)法使用。所以在此提醒各位,，為了網(wǎng)絡(luò)安全,，強(qiáng)烈建議升級(jí)?？紤]到蘋(píng)果通常會(huì)迅速修復(fù)重大的安全漏洞,，因此這一反應(yīng)速度并不令人意外。從 iOS 9 和 macOS 10.11 開(kāi)始,，蘋(píng)果將數(shù)據(jù)和網(wǎng)絡(luò)安全性提高到了前所未有的位置來(lái)重視,，在安全方面獲得不小的進(jìn)步。其中 Rootless 是蘋(píng)果兩大系統(tǒng)“巨大的”,、內(nèi)核級(jí)別的特性,，用以阻止惡意軟件，強(qiáng)化延展性能的安全性,、保護(hù)敏感數(shù)據(jù)的安全。在系統(tǒng)安全方面蘋(píng)果此前還為自己的系統(tǒng)開(kāi)發(fā)了新的特性 Trusted WiFi,，Trusted WiFi 支持 Mac 和 iOS 在不許其他安全措施的情況下連接到授權(quán)無(wú)線路由器上,，而對(duì)非可信路由器，它將會(huì)有更嚴(yán)格的加密無(wú)線連接要求,。蘋(píng)果已經(jīng)對(duì)他們自己以及第三方的應(yīng)用進(jìn)行測(cè)試,，保證在不同的無(wú)線網(wǎng)絡(luò)下這個(gè)特性都能發(fā)揮作用。

盡管如此,，用戶們還是應(yīng)該留意所有設(shè)備的固件更新,，包括路由器等等。在解決這些漏洞的更新發(fā)布之前,，擔(dān)心設(shè)備受到攻擊的用戶應(yīng)該避免使用公共 WiFi 網(wǎng)絡(luò),。

其他大廠的反應(yīng)

微軟的反應(yīng)也很迅速，早在媒體報(bào)道 WAP2 有可能存在被攻破可能（尚未確認(rèn)證實(shí)）時(shí),，微軟就于 10 月 10 日發(fā)布自動(dòng)防衛(wèi)安全補(bǔ)丁,，防患未然,。谷歌移動(dòng)/谷歌 Chromecast 也將在未來(lái)幾周給任何受影響的設(shè)備打上補(bǔ)丁。其他諸如英特爾,、Linksys,、Netgear、Eero,、Nest 等廠商都表示正在出爐解決方案,，會(huì)通過(guò)通過(guò)固件和軟件更新的方式應(yīng)對(duì)漏洞。采用 SSL/TLS 加密技術(shù)進(jìn)行端到端加密的設(shè)備預(yù)計(jì)不會(huì)收此次漏洞影響（Roost 公告）,。三星,、思科、D-Link,、TP-Link,、Nvidia 等暫時(shí)未發(fā)表評(píng)論。目前來(lái)看,，因?yàn)?WAP2 漏洞收關(guān)注的級(jí)別比較高,，所以廠商們都很重視，相信隨著時(shí)間推移,，解決方案也會(huì)逐步落實(shí),。作為普通吃瓜群眾，我們能做到的最切實(shí)的自我保護(hù)行動(dòng)就是：更新升級(jí),，以及關(guān)注更新升級(jí)的信息,。當(dāng)然，不要隨便連公共 WiFi,，盡可能給自己的設(shè)備設(shè)置 WiFi 安全密碼,，添加一個(gè)額外的安全層，使用更有安全保障的軟件/工具等,，這也是隨時(shí)隨地暢游網(wǎng)絡(luò)的現(xiàn)代用戶需要具備的一點(diǎn)常識(shí),。不再受到更新支持的老設(shè)備才是真正的處于危險(xiǎn)之中，不知道其制造商們是否會(huì)采取對(duì)策,，或許是時(shí)候該換新了吧,。