網通設備

Wi-Fi密碼被攻陷!KRACK(密鑰重裝攻擊)可輕易入侵你家無線網路!請趕快更新!

文.圖/陳兆宏 2017-10-17 11:01:25
自Wi-Fi Alliance (Wi-Fi聯盟)推出了當今最流行的Wi-Fi無線網路協定,至今已成為各3C裝置的無線高速傳輸主要協定,無論是電腦、平板、手機,或是其他聯網裝置,都能享受免接線的上網樂趣!而出門在外,不管是飯店、大眾交通工具上,或是公共場所,也能透過公眾Wi-Fi服務,來享有上網的便利性!

不過,服役13年的Wi-Fi密碼保護機制,日前已經破功了!資安專家最近在Wi-Fi的加密協定中發現重大漏洞,將可能導致數以百萬計的使用者容易遭受駭客攻擊,包括Windows、Android、Linux作業平台的使用者,只要您透過Wi-Fi無線上網,都有可能讓您的資訊暴露在外,甚至機密資訊(如信用卡號碼、密碼、聊天訊息、電子郵件內容,甚至照片)遭到竊取!

KRACK攻擊!可侵入您的Wi-Fi裝置,偷取您的機密資料!是當今遇到最嚴重的資安漏洞!


KRACK密鑰重裝攻擊,透過WPA2的漏洞來入侵!

2017年初,比利時魯汶大學(KU Leuven)的電腦科學家Mathy Vanhoef,在進行研究時,發現這個漏洞。這個漏洞簡單來說,就是攻擊者或駭客只要在有Wi-Fi的網路環境下,就可以透過繞過WPA2的密碼,並重新安裝新的全部都是0的密碼,來連接到您的Wi-Fi,如此一來,攻擊者就可以在網站裡面植入木馬、蠕蟲等惡意軟體,導致您的資料外洩!

這個被稱作「密鑰重裝攻擊」(Key Reinstallation Attacks,簡稱KRACK),可說是近年來被發現的資安問題中,最嚴重的一種!因為如今有超過41%的Android裝置,都有這項漏洞!就連當今所有的Windows電腦也有這項漏洞,更慘的是,不少Linux裝置也含有這項漏洞!因此許多使用Linux為主的NAS、Router等裝置,也有被入侵的可能性!

有關於KRACK的攻擊方式,可參考WWW.KRACKATTACKS.COM這個網站。裡面有展示攻擊的方式,以及說明細節!由於比較深入,有興趣的讀者可以參考看看!

KRACK 密鑰重裝攻擊 展示,透過繞過WPA2密碼的方式,來攻擊Android與Linux裝置(影片長度大約4分半)

影響範圍Q&A

下面整理了相關的Q&A讓大家了解更多的訊息,大家看過之後應該就有基本認知了。

Q: 我的手機安全嗎?
相較於先前的漏洞來說,KRACK是不同類型的攻擊方式,因為KRACK是等您的3C裝置在發送訊息時,伺機從中攔截!所以儲存在您手機上的資料都是安全的!但是若您透過Wi-Fi的方式去發送信用卡號碼、網站密碼、Email、簡訊、LINE訊息,都有可以能被盜取!尤其是在HTTP的網站中 (非加密式HTTPS網站),更容易遭到盜取!

Q: 我家的路由器,也有漏洞嗎?
有可能!但不是裝置本身的問題!而是Wi-Fi資訊洩漏的問題!尤其是你上一些HTTP的網站,又輸入了密碼!而你家附近剛好有駭客在利用KRACK方式攻擊時,您的密碼就有可能被盜!

Q: 我更改Wi-Fi密碼有效嗎?
你可以更改!但這是沒有效果的!因為KRACK攻擊,是利用Wi-Fi的漏洞,其攻擊目標是利用您路由器所加密的訊息,因此攻擊者並不需要破解密碼來達到攻擊的效果!所以更改密碼似乎無法改變被攻擊的機會!

Q: 這麼說來,所有裝置都有風險囉?
是的!只要透過Wi-Fi來發送和接收資料的任何裝置,都有這種風險。發現攻擊的研究人員表示,Android設備的風險要高於其他手機,約有41%的裝置有這樣的漏洞!

Q: 我的手機作業系統已是Android 7.0 (Nougat),這樣安全嗎?
歹勢!Android 6.0 (Marshmallow)或更高版本的新手機,反而風險更高!因為其程式碼存在一個現有的漏洞,使問題更加複雜化,讓駭客更容易「攔截和操縱流量」。

不過,有兩則消息,一則以喜、一則以憂。好消息是:Google已經正式發布修正檔,並說明2017年11月6日以後之安全修補程式的各種Android裝置,都可以防止這些漏洞。看來在這段漏洞期間,你可能盡量少用Wi-Fi上網吧!

壞消息是:有數以百萬計的手機還沒有接收到這項更新,有些手機製造商一直以來就不會針對其手機發布安全性更新,或者慢半拍,甚至根本不想理會這些客戶的生死!

截止目前為止,已知HTC、Sony、Huawei…等大型手機製造商,都還沒針對其更新政策來發表自己的公開聲明,以修復其上市的各種手機的系統安全漏洞,這真是重大災難!至於Nokia先前就表示每個月都會推出一次更新!而Samsung也承諾「即將推出」這次漏洞的更新,但還沒實際說明哪些裝置可以安裝此更新!

Q: 那我的iPhone、iPad和Mac安全嗎?
至少比Android安全一些!但也不是完全安全的!蘋果已經在先前的聲明中表示,目前的所有iOS、macOS、watchOS和tvOS的beta版本中,都針對KRACK漏洞做了修復,相信將會在短期內釋出給所有Apple用戶來更新。有關這則訊息,請參考這個Twitter訊息。目前已知AirPort路由器、Time Capsule無線基地台,都沒有KRACK的漏洞!

簡單來說,新的beta版本是確定完全沒有KRACK漏洞的!由於還在beta版本期間,若你等不及了,可以到Apple Beta版軟體計畫,去登記下載Beta版本吧!

Q: 那我的Windows電腦安全嗎?
不!所有的Windows電腦都有KRACK漏洞風險。不過,微軟才在10月10日偷偷放出針對KRACK的安全修正檔!您必須趕快更新,才不會讓您的電腦有所風險!有關這次的更新內容,可以參考微軟這個CVE-2017-13080的更新內容,或者你也可以在該網站裡直接下載更新檔來更新。

Q: Linux電腦呢?
其實可能更不安全!因為研究人員實際上發現,Linux電腦是最脆弱的裝置,因為與Android程式碼中發現相似漏洞,容易遭受KRACK攻擊。而許多LINUX的廠商也已承諾將放出更新!來修正這個問題!

Debian為主的Linux目前可以透過這裡來安裝修正檔。

Ubuntu也針對其14.04以後的版本,發布修正檔,記得去更新。

Gentoo也已經修正了,記得更新!

Q: 是否該關閉Wi-Fi呢?
其實關閉Wi-Fi可能也無濟於事!因為您的裝置仍有Wi-Fi漏洞風險!若您覺得恐慌,那麼唯一方法方法就是盡量避免使用Wi-Fi,直到您的路由器廠商發布安全修正檔,並已更新完成後,再使用Wi-Fi。

Q: 好吧!我先暫時別用Wi-Fi,那麼現在我能做什麼呢?
Microsoft(微軟)已經發布更新,趕快利用自動更新或手動更新就對了!至於Apple(蘋果)則表示在beta版本的自家各OS裡面,就已經修復這個問題,其Developer(開發者)皆可獲得這個版本。

若您的裝置是Android或Linux,現在能做的就是等待!Google已經確認他們已經意識到這個問題的嚴重性,並將在這幾個星期內釋出安全更新檔!而其他Linux供應商也將陸續釋出!您能做的就是追蹤這類的新聞,並繼續持續檢查更新,看看是否有安全修正檔已經釋出!

Q: 我的裝置都有開啟「自動更新」功能,我要怎麼知道我的裝置有被修正呢?
最快的方法,就是在系統更新頁面上,檢視是否有新的更新紀錄!此外,您可以看看這個部落客網站,他會持續追蹤哪些公司已發布了安全修正檔!網址在這裡

Q: 我的路由器和NAS怎麼辦?
首先,您應該檢查您的路由器或NAS,是否有任何未完成的韌體更新或安全性修正。記得用管理員帳號登入管理頁面,來安裝最新的韌體更新,若沒有的話,請記得隨時檢查一下,因為這些廠商應該會在接下來的幾個禮拜內,陸續推出新的更新檔!若擔心的話,記得致電到您路由器或NAS廠商的客服電話來詢問!

Q: 我的筆電都是使用Intel內建的Wi-Fi網路卡,有影響嗎?
已知Intel有針對他們家全系列的Wi-Fi無線產品,提出說明與更新檔,趕快去更新吧!

Q: Wi-Fi聯盟對這件事情有沒有任何表示?難道他們都沒有錯嗎?!
Wi-Fi Alliance剛已發布新聞稿,說明他們現在要求Wi-Fi全球認證實驗室網路中,對此漏洞進行測試,並已提供了一組漏洞檢測工具給任何Wi-Fi聯盟成員使用。對於此漏洞的細節,Wi-Fi聯盟並不掩飾這個瑕疵,還廣泛地做了介紹,並向各Wi-Fi裝置供應商提供了各種補救措施,同時鼓勵他們與他們的解決方案提供商合作,快速整合任何必要的更新檔,給他們的客戶。

你看他們都這麼積極在進行補救了,就不要再嘴他們囉!

使用有線,仍是比較安全的,但也是有風險!

之前發生過Wi-Fi被攻擊的事件,其實層出不窮!而這次KRACK的漏洞更加嚴重,是否讓人考慮,重新取出網路線,透過有線的方式來連接,比較安全呢?

也不盡然,畢竟當今病毒的攻擊更可怕!在一直使用LAN方式連接的電腦裝置中,玩家甚至很難去發現自己的電腦已經中毒!最好的方式,就是安裝防毒軟體!總之,有關於這次KRACK的漏洞,大家只要有使用Wi-Fi來上網,就應該重視這個問題,趕緊更新您的電腦與各式3C裝置,讓自己不要身陷遭受到駭客攻擊的危機!



發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。