技术标准存在缺陷,专家建议——接入公共Wi-Fi不要使用支付类应用
最近,关于Wi-Fi的新闻总让人有些忧虑。前不久,央视3·15晚会曝光了Wi-Fi探针盒子,它可以迅速识别出用户手机的MAC地址,在神不知鬼不觉中进行所谓的用户画像。近日,在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上,又有安全专家指出了Wi-Fi的重大新问题——基于WPA/WPA2的防止重放机制(PN号)设计上存在缺陷,攻击者可以利用这一缺陷,精确攻击使用某个Wi-Fi网络中的一个或几个用户。
这一问题由阿里安全猎户座实验室资深安全专家谢君和高级安全工程师汪嘉恒在大会上披露。
谢君介绍,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线网络Wi-Fi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。不过自2004年推出以来,已陆续有研究人员指出其存在的缺陷可导致安全问题。
“我们这次发现的缺陷更加底层,攻击者只需知道目标网络的密码,无需接入目标网络即可直接发起攻击。”谢君告诉科技日报记者,攻击者可以利用防止重放机制的设计缺陷,将用户和接入点之间的连接直接劫持,转化为中间人攻击。具体来说,就是攻击者可监听用户与Wi-Fi接入点的通信,在合适的时机发送伪造的数据或者劫持用户与Wi-Fi接入点的连接,篡改正常的通信内容,导致用户访问交互的数据中途被篡改。
通俗理解,这种攻击可以欺骗用户访问假的网站,甚至篡改真实网站的内容。“比如原来网站显示的是不要把验证码告诉第三方,我可以给你改成请把验证码发送到xxxx之类。”谢君说。如果访问虚假的网站被钓鱼,用户的账号密码就有被窃取的风险,进而有可能遭受经济损失。
发动攻击的可能性有多高?答案是,近乎100%。只要Wi-Fi密码被攻击者知晓,攻击者即可对接入网络的任何一个端发起攻击。不过,目前来看,利用这一防止重放机制设计缺陷来进行攻击的技术门槛非常高。因此,用户也不用太过紧张。谢君建议,接入公共Wi-Fi后,还是要尽量避免使用敏感应用,比如银行类或者支付类产品,或者登录某些需要输入用户名和密码的网站。“这种攻击只能诱使用户输入敏感内容,而不能从什么都不做的用户那里窃取信息,只要小心即可。”
当然,还有更简单直接的风险规避方式,那就是在公共场所尽量避免使用公共Wi-Fi,尽量使用移动网络上网。
谢君表示,保护Wi-Fi安全需要行业各界共同努力。去年6月国际上已推出新标准WPA3协议,他呼吁应加速推行这一新标准的普及落地,更好地保障用户上网安全。(记者 张盖伦)
凡本网注明“XXX(非中国微山网)提供”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和其真实性负责。
大众网·海报新闻记者张稳吕乐田阳孙震泰安报道时值深秋,泰安市邱家店镇姚家坡村迎来了一年中最忙碌的时节——作为全国最大的“秋裤村”,每
2022-10-29 18:34
在中国,每12秒有1人发生卒中,每21秒有1人死于卒中,脑血管病已成为中国居民第一位的死亡原因,早期预防显得尤为重要。每年10月29日是“世界
2022-10-29 18:39
10月28日上午,全国首个航运企业集成化审批服务平台在青岛自贸片区启动。该平台运用数据中台、AI人工智能、电子签名等技术,将涉及水路运输、
2022-10-29 18:37
海报评论员朱延鲁10月28日,山东公布了2022年前三季度全省经济运行数据。根据地区生产总值统一核算结果,前三季度,全省生产总值为64409亿元,
2022-10-29 18:31
作为正规医院,南昌丰益肛肠医院在改善就医环境、降低就医费用、优化就医流程方面下功夫;实行的无假日医院制度,为上班族看病提供便利;通过
2022-10-29 17:53
10月28日,山东发布了前三季度的全省经济运行情况。前三季度全省生产总值64409亿元,同比增长4 0%。跑赢3 0%的全国大盘,经济大省山东交出了一
2022-10-29 15:41
大众网·海报新闻记者解强民通讯员姜雁群济南报道10月28日,济南轨道交通3号线二期设备工程开工活动在稻香站举行,标志着济南轨道交通3号线二
2022-10-29 15:32
大众网·海报新闻记者梁雯济南报道11月9日至10日,2022全国中小企业数字化转型大会将于山东国际会展中心举行。本次大会主题为“创新引领发展数
2022-10-29 15:36
大众网·海报新闻记者孙杰济南报道10月28日,由中国联合国协会主办、外交部国际司支持、山东大学承办的第十八届中国模拟联合国大会开幕。此次
2022-10-29 15:42
测评每天护肤一小步变美就更进一步啦,因为对于好肌肤,我们不管是化妆还是素颜都会显得好看,今天想和大家分享一下本人亲自测评护肤品--郑
2022-10-29 14:12