今年央視315晚會(huì)上曝光的Wi-Fi探針收集用戶信息的熱度還未消退,阿里安全專家研究發(fā)現(xiàn)了Wi-Fi的重大新問(wèn)題:基于WPA/WPA2設(shè)計(jì)上存在的一些缺陷,用戶在使用公共Wi-Fi時(shí),被攻擊者釣魚(yú),進(jìn)而造成信息泄露或經(jīng)濟(jì)損失。
3月22日,在加拿大溫哥華舉辦的世界頂級(jí)信息安全峰會(huì)CanSecWest2019上,阿里安全獵戶座實(shí)驗(yàn)室資深安全專家侯客、高級(jí)安全工程師青惟披露了這一研究成果。
侯客介紹,WPA全稱為WiFi Protected Access,有WPA、WPA2兩個(gè)標(biāo)準(zhǔn),是一種保護(hù)無(wú)線網(wǎng)絡(luò)WiFi存取安全的技術(shù)標(biāo)準(zhǔn)。目前,WPA2是使用最廣泛的安全標(biāo)準(zhǔn),不過(guò)自2004年推出以來(lái),已陸續(xù)有研究人員指出其存在的缺陷可導(dǎo)致Wi-Fi不安全。
阿里安全的工程師們最新研究發(fā)現(xiàn),攻擊者可以被動(dòng)的監(jiān)聽(tīng)用戶與Wi-Fi接入點(diǎn)的通信,在適合的時(shí)機(jī)發(fā)送偽造的數(shù)據(jù)或者劫持用戶與Wi-Fi接入點(diǎn)的連接,篡改正常的通信內(nèi)容,導(dǎo)致用戶訪問(wèn)交互的數(shù)據(jù)中途被篡改。
通俗的說(shuō),當(dāng)用戶在家里、酒店、餐廳、商場(chǎng)等一些場(chǎng)所,用共享密碼的Wi-Fi,使用一些網(wǎng)絡(luò)應(yīng)用時(shí),比如用手機(jī)或電腦瀏覽網(wǎng)頁(yè),攻擊者透過(guò)WPA/WPA2的缺陷,可以引導(dǎo)用戶到假的網(wǎng)站,甚至篡改用戶正在訪問(wèn)網(wǎng)站的內(nèi)容。
相比央視315晚會(huì)曝光的WiFi探針,僅是收集用戶信息,進(jìn)而通過(guò)其他關(guān)聯(lián)信息給用戶畫像,而阿里安全工程師發(fā)現(xiàn)的這一風(fēng)險(xiǎn),一旦讓攻擊者得逞,其后果更為嚴(yán)重。“在這種攻擊下,用戶上網(wǎng)的質(zhì)量不但會(huì)受到影響,訪問(wèn)虛假的網(wǎng)站被釣魚(yú)后,用戶的賬號(hào)密碼也有被竊取的風(fēng)險(xiǎn),進(jìn)而遭受經(jīng)濟(jì)損失!
針對(duì)這一風(fēng)險(xiǎn),侯客在演講中建議,用戶在公共場(chǎng)所盡量避免使用公共Wi-Fi,盡量使用移動(dòng)網(wǎng)絡(luò)上網(wǎng)。他還呼吁,保護(hù)WiFi安全需要行業(yè)各界共同努力,去年6月已推出新標(biāo)準(zhǔn)WPA3協(xié)議,應(yīng)加速推行這一新標(biāo)準(zhǔn)的普及落地,替代WPA2,保護(hù)用戶安全。