自Wi-Fi Alliance (Wi-Fi聯盟)推出了當今最流行的Wi-Fi無線網路協定，至今已成為各3C裝置的無線高速傳輸主要協定，無論是電腦、平板、手機，或是其他聯網裝置，都能享受免接線的上網樂趣！而出門在外，不管是飯店、大眾交通工具上，或是公共場所，也能透過公眾Wi-Fi服務，來享有上網的便利性！

不過，服役13年的Wi-Fi密碼保護機制，日前已經破功了！資安專家最近在Wi-Fi的加密協定中發現重大漏洞，將可能導致數以百萬計的使用者容易遭受駭客攻擊，包括Windows、Android、Linux作業平台的使用者，只要您透過Wi-Fi無線上網，都有可能讓您的資訊暴露在外，甚至機密資訊(如信用卡號碼、密碼、聊天訊息、電子郵件內容，甚至照片)遭到竊取！

KRACK密鑰重裝攻擊，透過WPA2的漏洞來入侵！

2017年初，比利時魯汶大學(KU Leuven)的電腦科學家Mathy Vanhoef，在進行研究時，發現這個漏洞。這個漏洞簡單來說，就是攻擊者或駭客只要在有Wi-Fi的網路環境下，就可以透過繞過WPA2的密碼，並重新安裝新的全部都是0的密碼，來連接到您的Wi-Fi，如此一來，攻擊者就可以在網站裡面植入木馬、蠕蟲等惡意軟體，導致您的資料外洩！

這個被稱作「密鑰重裝攻擊」（Key Reinstallation Attacks，簡稱KRACK），可說是近年來被發現的資安問題中，最嚴重的一種！因為如今有超過41%的Android裝置，都有這項漏洞！就連當今所有的Windows電腦也有這項漏洞，更慘的是，不少Linux裝置也含有這項漏洞！因此許多使用Linux為主的NAS、Router等裝置，也有被入侵的可能性！

有關於KRACK的攻擊方式，可參考WWW.KRACKATTACKS.COM這個網站。裡面有展示攻擊的方式，以及說明細節！由於比較深入，有興趣的讀者可以參考看看！

KRACK 密鑰重裝攻擊 展示，透過繞過WPA2密碼的方式，來攻擊Android與Linux裝置(影片長度大約4分半)

影響範圍Q&A

下面整理了相關的Q&A讓大家了解更多的訊息，大家看過之後應該就有基本認知了。

Q: 我的手機安全嗎？

相較於先前的漏洞來說，KRACK是不同類型的攻擊方式，因為KRACK是等您的3C裝置在發送訊息時，伺機從中攔截！所以儲存在您手機上的資料都是安全的！但是若您透過Wi-Fi的方式去發送信用卡號碼、網站密碼、Email、簡訊、LINE訊息，都有可以能被盜取！尤其是在HTTP的網站中 (非加密式HTTPS網站)，更容易遭到盜取！

Q: 我家的路由器，也有漏洞嗎？

有可能！但不是裝置本身的問題！而是Wi-Fi資訊洩漏的問題！尤其是你上一些HTTP的網站，又輸入了密碼！而你家附近剛好有駭客在利用KRACK方式攻擊時，您的密碼就有可能被盜！

Q: 我更改Wi-Fi密碼有效嗎？

你可以更改！但這是沒有效果的！因為KRACK攻擊，是利用Wi-Fi的漏洞，其攻擊目標是利用您路由器所加密的訊息，因此攻擊者並不需要破解密碼來達到攻擊的效果！所以更改密碼似乎無法改變被攻擊的機會！

Q: 這麼說來，所有裝置都有風險囉？

是的！只要透過Wi-Fi來發送和接收資料的任何裝置，都有這種風險。發現攻擊的研究人員表示，Android設備的風險要高於其他手機，約有41%的裝置有這樣的漏洞！

Q: 我的手機作業系統已是Android 7.0 (Nougat)，這樣安全嗎？

歹勢！Android 6.0 (Marshmallow)或更高版本的新手機，反而風險更高！因為其程式碼存在一個現有的漏洞，使問題更加複雜化，讓駭客更容易「攔截和操縱流量」。

不過，有兩則消息，一則以喜、一則以憂。好消息是：Google已經正式發布修正檔，並說明2017年11月6日以後之安全修補程式的各種Android裝置，都可以防止這些漏洞。看來在這段漏洞期間，你可能盡量少用Wi-Fi上網吧！

壞消息是：有數以百萬計的手機還沒有接收到這項更新，有些手機製造商一直以來就不會針對其手機發布安全性更新，或者慢半拍，甚至根本不想理會這些客戶的生死！

截止目前為止，已知HTC、Sony、Huawei…等大型手機製造商，都還沒針對其更新政策來發表自己的公開聲明，以修復其上市的各種手機的系統安全漏洞，這真是重大災難！至於Nokia先前就表示每個月都會推出一次更新！而Samsung也承諾「即將推出」這次漏洞的更新，但還沒實際說明哪些裝置可以安裝此更新！

Q: 那我的iPhone、iPad和Mac安全嗎？

至少比Android安全一些！但也不是完全安全的！蘋果已經在先前的聲明中表示，目前的所有iOS、macOS、watchOS和tvOS的beta版本中，都針對KRACK漏洞做了修復，相信將會在短期內釋出給所有Apple用戶來更新。有關這則訊息，請參考這個Twitter訊息。目前已知AirPort路由器、Time Capsule無線基地台，都沒有KRACK的漏洞！

簡單來說，新的beta版本是確定完全沒有KRACK漏洞的！由於還在beta版本期間，若你等不及了，可以到Apple Beta版軟體計畫，去登記下載Beta版本吧！

Q: 那我的Windows電腦安全嗎？

不！所有的Windows電腦都有KRACK漏洞風險。不過，微軟才在10月10日偷偷放出針對KRACK的安全修正檔！您必須趕快更新，才不會讓您的電腦有所風險！有關這次的更新內容，可以參考微軟這個CVE-2017-13080的更新內容，或者你也可以在該網站裡直接下載更新檔來更新。

Q: Linux電腦呢？

其實可能更不安全！因為研究人員實際上發現，Linux電腦是最脆弱的裝置，因為與Android程式碼中發現相似漏洞，容易遭受KRACK攻擊。而許多LINUX的廠商也已承諾將放出更新！來修正這個問題！

Debian為主的Linux目前可以透過這裡來安裝修正檔。

Ubuntu也針對其14.04以後的版本，發布修正檔，記得去更新。

Gentoo也已經修正了，記得更新！

Q: 是否該關閉Wi-Fi呢？

其實關閉Wi-Fi可能也無濟於事！因為您的裝置仍有Wi-Fi漏洞風險！若您覺得恐慌，那麼唯一方法方法就是盡量避免使用Wi-Fi，直到您的路由器廠商發布安全修正檔，並已更新完成後，再使用Wi-Fi。

Q: 好吧！我先暫時別用Wi-Fi，那麼現在我能做什麼呢？

Microsoft(微軟)已經發布更新，趕快利用自動更新或手動更新就對了！至於Apple(蘋果)則表示在beta版本的自家各OS裡面，就已經修復這個問題，其Developer(開發者)皆可獲得這個版本。

若您的裝置是Android或Linux，現在能做的就是等待！Google已經確認他們已經意識到這個問題的嚴重性，並將在這幾個星期內釋出安全更新檔！而其他Linux供應商也將陸續釋出！您能做的就是追蹤這類的新聞，並繼續持續檢查更新，看看是否有安全修正檔已經釋出！

Q: 我的裝置都有開啟「自動更新」功能，我要怎麼知道我的裝置有被修正呢？

最快的方法，就是在系統更新頁面上，檢視是否有新的更新紀錄！此外，您可以看看這個部落客網站，他會持續追蹤哪些公司已發布了安全修正檔！網址在這裡。

Q: 我的路由器和NAS怎麼辦？

首先，您應該檢查您的路由器或NAS，是否有任何未完成的韌體更新或安全性修正。記得用管理員帳號登入管理頁面，來安裝最新的韌體更新，若沒有的話，請記得隨時檢查一下，因為這些廠商應該會在接下來的幾個禮拜內，陸續推出新的更新檔！若擔心的話，記得致電到您路由器或NAS廠商的客服電話來詢問！

Q: 我的筆電都是使用Intel內建的Wi-Fi網路卡，有影響嗎？

已知Intel有針對他們家全系列的Wi-Fi無線產品，提出說明與更新檔，趕快去更新吧！

Q: Wi-Fi聯盟對這件事情有沒有任何表示？難道他們都沒有錯嗎？！

Wi-Fi Alliance剛已發布新聞稿，說明他們現在要求Wi-Fi全球認證實驗室網路中，對此漏洞進行測試，並已提供了一組漏洞檢測工具給任何Wi-Fi聯盟成員使用。對於此漏洞的細節，Wi-Fi聯盟並不掩飾這個瑕疵，還廣泛地做了介紹，並向各Wi-Fi裝置供應商提供了各種補救措施，同時鼓勵他們與他們的解決方案提供商合作，快速整合任何必要的更新檔，給他們的客戶。

你看他們都這麼積極在進行補救了，就不要再嘴他們囉！

使用有線，仍是比較安全的，但也是有風險！

之前發生過Wi-Fi被攻擊的事件，其實層出不窮！而這次KRACK的漏洞更加嚴重，是否讓人考慮，重新取出網路線，透過有線的方式來連接，比較安全呢？

也不盡然，畢竟當今病毒的攻擊更可怕！在一直使用LAN方式連接的電腦裝置中，玩家甚至很難去發現自己的電腦已經中毒！最好的方式，就是安裝防毒軟體！總之，有關於這次KRACK的漏洞，大家只要有使用Wi-Fi來上網，就應該重視這個問題，趕緊更新您的電腦與各式3C裝置，讓自己不要身陷遭受到駭客攻擊的危機！