今年央视315晚会上曝光的Wi-Fi探针搜集用户信息的热度还并未消失,阿里安全性专家研究找到了Wi-Fi的根本性新问题:基于WPA/WPA2设计上不存在的一些缺失,用户在用于公共Wi-Fi时,被攻击者钓鱼,进而导致信息泄漏或经济损失。3月22日,在加拿大温哥华举行的世界顶级信息安全峰会CanSecWest2019上,阿里安全性猎户座实验室资深安全性专家侯客、高级安全性工程师青惟透露了这一研究成果。
侯客讲解,WPA全称作WiFiProtectedAccess,有WPA、WPA2两个标准,是一种维护无线网络WiFi读取安全性的技术标准。目前,WPA2是用于最普遍的安全性标准,不过自2004年发售以来,已相继有研究人员认为其不存在的缺失可造成Wi-Fi不安全性。阿里安全性的工程师们近期研究找到,攻击者可以被动的监听用户与Wi-Fi接入点的通信,在合适的时机发送到假造的数据或者挟持用户与Wi-Fi接入点的相连,伪造长时间的通信内容,导致用户采访交互的数据中途被伪造。
通俗的说道,当用户在家里、酒店、餐厅、商场等一些场所,用分享密码的Wi-Fi,用于一些网络应用时,比如用手机或电脑网页网页,攻击者利用WPA/WPA2的缺失,可以引领用户到骗的网站,甚至伪造用户正在采访网站的内容。比起央视315晚会曝光的WiFi探针,仅有是搜集用户信息,进而通过其他关联信息给用户画像,而阿里安全性工程师找到的这一风险,一旦让攻击者揭穿,其后果更为严重。“在这种反击下,用户网际网路的质量不但不会受到影响,采访欺诈的网站被钓鱼后,用户的账号密码也有被盗取的风险,进而遭到经济损失。”针对这一风险,侯客在演说中建议,用户在公共场所尽量避免用于公共Wi-Fi,尽可能用于移动网络网际网路。
他还敦促,维护WiFi安全性必须行业各界共同努力,去年6月已发售新标准WPA3协议,不应加快实行这一新标准的普及落地,替代WPA2,维护用户安全性。
本文来源:博业体育-www.lfmsl.com