資安專家發現無線網路存有漏洞。(湯森路透)
資安專家發現,長期用於無線網路(Wifi)的加密協定WPA2存有資安漏洞,有心人士可以藉由此一漏洞盜取他人的重要資訊,專家還點名安卓(Android)及Linux系統有高度風險。此一消息引發各國政府關注,許多大型企業也急忙開始研發補強軟體。
任職於比利時魯汶大學(Belgian university KU Leuven)的資安專家范赫夫(Mathy Vanhoef)日前發現,無線網路的加密協定WPA2存有漏洞。
「攻擊者可以利用新的攻擊技術來獲取原本以為被安全加密的資料,」范赫夫在16日發布的報告中警告:「這(技術)可以用來盜取信用卡卡號、密碼、對話紀錄、郵件等敏感資訊。」
范赫夫點名數家公司的系統及裝置,包含Android、Linux、蘋果(Apple)、Windows、OpenBSD等都面臨一定程度的風險,而其中又以安卓6.0或更高版本以及Linux的風險特別高。
《衛報》(the Guardian)報導,范赫夫的研究成果同時驚動了全球的公、私部門。
谷歌(Google)的發言人表示:「我們已經注意了到這個議題,而我們會在接下來幾周補足任何受影響裝置的漏洞。」而蘋果及微軟(Microsoft)則表示所屬系統已經完成了資安升級。
英國國家網路安全中心(National Cyber Security Centre)發出聲明表示:「我們正在檢視這份報告,如果有需要,我們將會提供新的方針。網路安全是國家網路安全中心的首要任務,而我們在無線網路安全性、裝置管理、瀏覽器安全性等議題上持續地更新我們的建議。」
美國電腦緊急應變中心(Computer Emergency Readiness Team)也對外表示已注意到這個問題,他們警告:「大多數或甚至所有正確的實施標準都會受到影響」。
擁有Wifi商標的無線網路聯盟(Wi-Fi Alliance)表示:「這個問題可以透過軟體升級來解決」。聯盟補充道,目前還沒有任何的證據顯示WPA2的漏洞被惡意使用。
《衛報》報導,范赫夫所指的網路攻擊大多限於用WPA2加密的無線網路,這代表利用虛擬私人網路(VPN)或是用SSH(Secure Shell)加密的方式目前還沒有立即的風險。此外英國廣播公司(BBC)也報導,有心人士如果要利用WPA2的漏洞進行攻擊,他必須要在目標的周邊。
Key Reinstallation Attacks: Breaking WPA2 by forcing nonce reuse https://t.co/gFrtbou375 and see the paper at https://t.co/iloFCbE8Pv
— Mathy Vanhoef (@vanhoefm) October 16, 2017