您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

兩位安全研究人員發(fā)現(xiàn)了WPA3漏洞

2019-05-31 15:48:29 編輯: 來(lái)源:
導(dǎo)讀 你的意思是我的安全毯不安全嗎?下一代的標(biāo)準(zhǔn)應(yīng)該使密碼破解過(guò)去的事情了,起哄Ars Technica的,當(dāng)?shù)弥┒词窃赪PA3協(xié)議可能允許對(duì)手去的Wi

你的意思是我的安全毯不安全嗎?下一代的標(biāo)準(zhǔn)“應(yīng)該使密碼破解過(guò)去的事情了,”起哄Ars Technica的,當(dāng)?shù)弥┒词窃赪PA3協(xié)議可能允許對(duì)手去的Wi-Fi密碼和訪問(wèn)目標(biāo)網(wǎng)絡(luò)后發(fā)現(xiàn)。

“不幸的是,”兩位研究人員說(shuō),我們發(fā)現(xiàn)即使使用WPA3,受害者范圍內(nèi)的攻擊者仍然可以恢復(fù)網(wǎng)絡(luò)密碼。當(dāng)受害者不使用HTTPS等額外保護(hù)層時(shí),這可以讓對(duì)手竊取敏感信息,如信用卡,密碼,電子郵件等。“

WPA3于2018年由Wi-Fi聯(lián)盟發(fā)布,旨在保護(hù)Wi-Fi網(wǎng)絡(luò)免受入侵者的攻擊。什么男性泄漏?Dark Reading提到“握手過(guò)程中的缺陷”,可能會(huì)“對(duì)用作網(wǎng)絡(luò)憑證一部分的密碼進(jìn)行低成本攻擊”。

低成本攻擊?那是什么意思?Ars Technica的 Dan Goodin 寫(xiě)道,WPA3 中的設(shè)計(jì)缺陷引發(fā)了對(duì)無(wú)線安全性的質(zhì)疑,“尤其是低成本的物聯(lián)網(wǎng)設(shè)備”。

該攻擊涉及一個(gè)允許傳統(tǒng)WPA2 設(shè)備連接到啟用WPA3的接入點(diǎn)的過(guò)程 ; 由此產(chǎn)生的操作打開(kāi)了“對(duì)用于身份驗(yàn)證的密碼的暴力字典攻擊”的過(guò)程,“ Dark Reading說(shuō)。

關(guān)于影響,這個(gè)交易有多大?Dark Reading引用了Wi-Fi聯(lián)盟營(yíng)銷副總裁Kevin Robinson的話。并非所有WPA3個(gè)人設(shè)備都受到影響,甚至可以通過(guò)軟件更新修補(bǔ)“少量設(shè)備”。

該登錄過(guò)程具有可能使WPA3不太安全的漏洞。具體而言,Dark Reading報(bào)告了“等同同步認(rèn)證(SAE)握手的側(cè)通道漏洞問(wèn)題”。后者被進(jìn)一步描述為“WPA3對(duì)WPA2的改進(jìn)的關(guān)鍵部分”。

由于SAE握手被稱為Dragonfly; 研究人員稱這一系列漏洞為龍血。

發(fā)現(xiàn)這一漏洞的是紐約大學(xué)阿布扎比的Mathy Vanhoef和特拉維夫大學(xué)的Eyal Ronen以及KU Leuven。

(在側(cè)通道信息泄漏攻擊中,解釋了Catalin Cimpanu,ZDNet,“支持WiFi WPA3的網(wǎng)絡(luò)可以欺騙設(shè)備使用較弱的算法泄漏有關(guān)網(wǎng)絡(luò)密碼的少量信息。通過(guò)反復(fù)攻擊,完整的密碼最終可以恢復(fù)。“)

Dan Goodin并沒(méi)有對(duì)這一發(fā)現(xiàn)感到震驚。“目前的WPA2版本(自2000年代中期以來(lái)一直在使用)遭遇了十多年來(lái)一直存在的嚴(yán)重設(shè)計(jì)缺陷,”他寫(xiě)道。

他說(shuō),四方握手是一個(gè)加密過(guò)程,用于驗(yàn)證計(jì)算機(jī),電話和平板電腦到接入點(diǎn),反之亦然 - 并包含網(wǎng)絡(luò)密碼的哈希值。“連接到網(wǎng)絡(luò)的設(shè)備范圍內(nèi)的任何人都可以記錄這次握手。短密碼或那些非隨機(jī)的密碼在幾秒鐘內(nèi)就可以輕易破解。”

幸運(yùn)的是,他們寫(xiě)了博客,我們希望我們的工作和與Wi-Fi聯(lián)盟的協(xié)調(diào)將使供應(yīng)商能夠在WPA3普及之前減輕我們的攻擊。“

4月10日,Wi-Fi聯(lián)盟發(fā)布了一份聲明,稱他們稱之為“WPA3-Personal的早期實(shí)現(xiàn)數(shù)量有限,其中這些設(shè)備允許在運(yùn)行攻擊者軟件的設(shè)備上收集側(cè)信道信息,但未正確實(shí)施加密操作,或使用不合適的加密元素。“

他們表示,受影響的設(shè)備制造商數(shù)量很少“已經(jīng)開(kāi)始部署補(bǔ)丁以解決問(wèn)題。這些問(wèn)題都可以通過(guò)軟件更新得到緩解,而不會(huì)影響設(shè)備協(xié)同工作的能力。沒(méi)有證據(jù)表明這些漏洞已經(jīng)存在。利用“。

Wi-Fi聯(lián)盟感謝兩位研究人員Vanhoef和Ronen發(fā)現(xiàn)并“負(fù)責(zé)任地報(bào)告這些問(wèn)題,允許行業(yè)在廣泛的WPA3-Personal行業(yè)部署之前主動(dòng)準(zhǔn)備更新。”

他們告訴Wi-Fi用戶他們應(yīng)該確保他們已經(jīng)安裝了設(shè)備制造商提供的最新推薦更新。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。