Wi-Fi（無線局域網）曝出的安全漏洞，可能只是虛驚一場。

10月16日，國際著名漏洞知識庫通用漏洞披露（CVE）發布消息稱， 用于保護Wi-Fi安全的WPA/WPA2加密協議漏洞曝光，該漏洞名稱為“密鑰重裝攻擊”KRACK（Key Reinstallation Attacks），這幾乎將影響全部計算機、手機和路由器等Wi-Fi設備，使黑客可以監聽到通過接入WiFi網絡設備進行的數據通信，竊取用戶隱私；并可以劫持用戶客戶端到一個釣魚熱點上，實現流量劫持、篡改等。

據CVE發布的消息，在16日晚上8時開始，這些漏洞細節會陸續公開，從CVE編號數量來看，公布的漏洞有10個之多。而WPA2加密協議被攻陷意味著，在用戶家或辦公室 Wi-Fi 物理覆蓋范圍內的攻擊者，都可以破解加密協議并發動入侵，監聽網絡活動、攔截不安全或未加密的數據流。

對此，360無線電安全研究院負責人楊卿向澎湃新聞解釋，KRACK攻擊簡單來說，就是一種針對客戶端的攻擊方式，漏洞利用方法是攻擊者根據合法WiFi偽造同名的釣魚WiFi，并利用漏洞迫使無線客戶端連接到釣魚WiFi，這樣攻擊者就可以對無線客戶端的網絡流量進行篡改，抓取社交網站賬號密碼。

“目前，該漏洞的利用代碼并未公布，且漏洞屬于范圍性影響，需處在合法WiFi附近不超過100米的范圍內才能實現攻擊，再加上漏洞利用難度頗高，短時間內很難出現利用該漏洞的真實攻擊。因此，用戶不必過度恐慌。”他表示。

據了解，漏洞發現者已經在7月將漏洞細節報告給廠商，10月2日，Linux的補丁已公布；10月10日，微軟在Windows10操作系統中發布補丁；同一天，蘋果也發布了安全公告，在最新的beta版iOS、macOS、tvOS和watchOS中修復了無線網絡安全漏洞；谷歌方面則表示，將在近期給受影響設備打上補丁。

楊卿表示，該漏洞風險處于可控范圍，用戶無需過分恐慌，也不用修改WiFi密碼，及時更新所有使用WPA/WPA2無線認證客戶端的軟件版本就可有效防御。同時注意，在不使用WiFi時關閉手機WiFi功能，公共WiFi下不要登錄有關支付、財產等賬號、密碼。如需登錄、支付，將手機切換至數據流量網絡。

“該漏洞不能用于破解使用WPA/WPA2無線網絡的密碼，只會影響在使用WPA/WPA2認證的無線網絡之下的無線客戶端（如手機、智能設備）。所以用戶根本無需修改密碼，只要及時更新無線路由器、手機、智能硬件等所有使用WPA/WPA2無線認證客戶端的軟件版本，就可以避免遭遇攻擊。另外，有條件的企業及個人請合理部署WIPS（無線入侵防御系統），及時監測合法WiFi區域內的惡意釣魚WiFi，并加以阻斷干擾，使其惡意WiFi無法正常工作。”他說。

（澎湃新聞）

[責任編輯：楊凡、劉巖]

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網官方微博（@齊魯網）提供新聞線索。齊魯網廣告熱線0531-81695052，誠邀合作伙伴。