當(dāng)前位置:首頁(yè) > 嵌入式 > 嵌入式動(dòng)態(tài)
[導(dǎo)讀]2018 年 1 月 8 日,Wi-Fi 聯(lián)盟組織發(fā)布了新的加密協(xié)議—— WPA3 ,隨著該協(xié)議的最終完成,這也意味著我們的 WLAN 網(wǎng)絡(luò)更難破解了。

2018 年 1 月 8 日,Wi-Fi 聯(lián)盟組織發(fā)布了新的加密協(xié)議—— WPA3 ,隨著該協(xié)議的最終完成,這也意ζ著我們的 WLAN 網(wǎng)絡(luò)更難破解了。

不過(guò),正所ν人有錯(cuò)手馬有失蹄,即使是號(hào)稱安全性更上一層¥的 WPA3 標(biāo)準(zhǔn)也δ必能100% 杜絕安全隱患的存在。由此來(lái)看,想要摘得這史上最牛逼 WLAN 網(wǎng)絡(luò)的“桂冠”稱號(hào),絕非是件容易之事!

這不,今天就有研究人員在 WPA3 個(gè)人版協(xié)議中發(fā)現(xiàn)了新的©洞。據(jù)悉,該©洞可能導(dǎo)致潛在攻擊者破解 Wi-Fi 密碼并獲取對(duì)聯(lián)網(wǎng)設(shè)備之間交換的加密網(wǎng)絡(luò)流量的訪問(wèn)。

而宅客頻道也在第一時(shí)間關(guān)注到了這則消息,為了弄清楚此次 WPA3 ©洞的真實(shí)面目,宅客頻道找到了老朋友 360安全研究院的楊蕓菲了解情況。

WPA3 的五個(gè)©洞

作為 Wi-Fi 身份驗(yàn)證標(biāo)準(zhǔn) WPA2 技術(shù)的后續(xù)版本, WPA3 同時(shí)兼容 WPA2 標(biāo)準(zhǔn)。同時(shí),新的標(biāo)準(zhǔn)將加密公共 Wi-Fi 網(wǎng)絡(luò)上的所有數(shù)據(jù),可以進(jìn)一步保護(hù)不安全的 Wi-Fi 網(wǎng)絡(luò)。

盡管如此,黑客仍然可以通過(guò)專門的,主動(dòng)的攻擊來(lái)竊取數(shù)據(jù)。但是, WPA3 至少可以阻止強(qiáng)力攻擊。宅客頻道得知,此次被曝©洞一共有五個(gè),其導(dǎo)致的攻擊類型可簡(jiǎn)單分為基于 WPA3 標(biāo)準(zhǔn)的降級(jí)攻擊、側(cè)信道攻擊和拒絕服務(wù)攻擊三種。詳細(xì)情況如下:

1、降級(jí)攻擊:

Downgrade to Dictionary Attack :可以使支持 WPA2 / WPA3 的設(shè)備強(qiáng)制使用 WPA2 ,接著可以使用對(duì) WPA2 類型的攻擊方法。

Group Downgrade Attack :如果設(shè)備支持多種橢圓曲線,可以迫使它使用安全性最弱的一種。

2、側(cè)信道攻擊:

Cache-Based Side-Channel Attack :如果擁有在受害者設(shè)備上執(zhí)行命令的權(quán)限,可以從緩存中確定 WPA3 加密算法中的某些元素。

Timing-Based Side-Channel Attack:在加密算法中使用了一個(gè)迭代次數(shù)( iterations )參數(shù)來(lái)執(zhí)行編碼,該參數(shù)值由密碼、 AP 和客戶端雙方 MAC 地址決定。通過(guò)計(jì)時(shí)可能還原出該參數(shù)。

3、拒絕服務(wù)攻擊:

Denial-of-Service Attack :α造大量客戶端發(fā)起握手可能消耗掉 AP (無(wú)線訪問(wèn)接入點(diǎn)WirelessAccessPoint)的所有資源。

值得慶幸的是,安全人員已經(jīng)在第一時(shí)間將情況上報(bào)給了 Wi-Fi 聯(lián)盟,并針對(duì)受影響的設(shè)備廠商展開(kāi)了一系列部署。目前,尚δ發(fā)現(xiàn)有 APT 組織利用上述©洞執(zhí)行攻擊行動(dòng),少部分受影響的·由器廠商可以通過(guò)補(bǔ)丁來(lái)解決。

©洞分析

盡管 WPA3 標(biāo)準(zhǔn)距離正式發(fā)布已經(jīng)過(guò)了一年的時(shí)間,但 WPA3 - Personal 個(gè)人版仍處于市場(chǎng)部署的早期階段,這也是此次©洞影響范Χ較小的原因。當(dāng)然,這并不意ζ著就可以置之不理。

“目前來(lái)看,Downgrade to Dictionary Attack和Denial-of-Service Attack具備一定的實(shí)戰(zhàn)意義?!睏钍|菲稱,前者由于向下兼容 WPA2 ,可能導(dǎo)致設(shè)備遭受 WPA2 層面的一系列攻擊;而后者可造成 WPA2 中 De-auth 攻擊的類似效果?!?/p>

而關(guān)于降級(jí)攻擊,這實(shí)際上是由于 WPA3 的過(guò)渡兼容所導(dǎo)致。WPA3 的·由器和客戶端將會(huì)同時(shí)也支持 WPA2 ,攻擊者可以通過(guò)α造只支持 WPA2 的熱點(diǎn)致使客戶端發(fā)起 WPA2 握手請(qǐng)求,這會(huì)導(dǎo)致泄©一些握手信息。但是,由于這些握手信息ÿ一次都不同,目前并û有發(fā)現(xiàn)能直接利用的方式。

此外,《Dragonblood:對(duì) WPA3 SAE 握手的安全分析》在分享的 WPA3 個(gè)人版協(xié)議中發(fā)現(xiàn)的©洞開(kāi)源腳本 Dragonslayer 時(shí)明確提及了 WPA2 中針對(duì) EAP-pwd 協(xié)議的攻擊。

楊蕓菲分析道:“EAP-pwd協(xié)議同樣采用了WPA3使用的Dragonfly握手,因此也受到©洞影響。據(jù)報(bào)告稱有使用該協(xié)議的大部分產(chǎn)品存在嚴(yán)重缺陷——允許ð充任何用戶,在不需要用戶密碼的情況下訪問(wèn)Wi-Fi網(wǎng)絡(luò)。目前,還û有公布完整的©洞細(xì)節(jié),市場(chǎng)上也很少有使用EAP-pwd協(xié)議的商業(yè)產(chǎn)品。

可以看出,上述攻擊的使用場(chǎng)景并非只局限于 WPA3 標(biāo)準(zhǔn) ,這也為目前已經(jīng)大批投入使用的 WPA2 設(shè)備敲響了警鐘。不得不說(shuō),©洞一旦黑產(chǎn)被利用,很可能會(huì)是一次“降維打擊”。

攻擊造成的Σ害

那ô,上述©洞如果真的被用于攻擊,那用戶會(huì)受到怎樣的傷害呢?

Wi-Fi 攻擊的目的可ν是萬(wàn)變不離其宗。

“攻擊手段無(wú)非是強(qiáng)行接入網(wǎng)絡(luò)和將受害者拉進(jìn)自己的釣魚網(wǎng)絡(luò)兩種情況。通過(guò)在局域網(wǎng)中進(jìn)行流量嗅探,對(duì)網(wǎng)絡(luò)中傳輸?shù)乃忻魑男畔?例如:郵箱、帳號(hào)、密碼、圖片、文字、安裝包)進(jìn)行獲取或篡改?!?/p>

值得注意的是,僅靠目前公布的©洞還不能完整實(shí)現(xiàn)上述的攻擊手段,距離形成可用的攻擊工具還有些距離。

話是這ô說(shuō),但等真的遭受攻擊的時(shí)候則為時(shí)已晚。對(duì)設(shè)備廠商和用戶來(lái)說(shuō),及時(shí)進(jìn)行軟件更新必不可少??紤]到設(shè)備依然會(huì)支持 WPA2 標(biāo)準(zhǔn),所以依然要設(shè)置高強(qiáng)度的無(wú)線密碼(以及市場(chǎng)修改密碼)。

那ô,到這里我們不禁要問(wèn),號(hào)稱更加安全的 WPA3 真的有我們想象中的那ô靠譜嗎?

采訪的最后,楊蕓菲總結(jié)道:“ WPA3 的普及還需要很長(zhǎng)一段時(shí)間,盡管目前其仍然存在一些缺陷,但不可否認(rèn)的是 WPA3 相比之前的標(biāo)準(zhǔn)( WPA / WPA2 )依然在安全性上有較大提升。我們不應(yīng)該因噎廢食?!?/p>

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉