第一黄金网3月27日讯 餐馆、商场、咖啡店……公共WiFi已成为公共场所提升服务质量的一项措施。近日,有关信息安全专家提出,共享密码公共WiFi上网存在新风险,攻击者可能盗取用户账号密码。
前不久,央视3·15晚会曝光了Wi-Fi探针盒子,它可以迅速识别出用户手机的MAC地址,在神不知鬼不觉中进行所谓的用户画像。近日,在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上,又有安全专家指出了Wi-Fi的重大新问题——基于WPA/WPA2的防止重放机制(PN号)设计上存在缺陷,攻击者可以利用这一缺陷,精确攻击使用某个Wi-Fi网络中的一个或几个用户。
WPA被称为WiFi保护访问,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线网络WiFi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。但自2004年推出以来,研究人员指出其缺陷可能导致WiFi不安全。
阿里安全专家发现了WiFi的一个新问题:基于WPA/WPA2设计中的一些缺陷,用户在使用公共WiFi,通过该缺陷可以准确地攻击,WiFi网络中的用户,导致用户在浏览网页时进行网络钓鱼!
攻击者可以被动地监控用户与WiFi接入点的通信,在适当的时间发送假数据或者劫持用户与WiFi接入点的连接,篡改正常的通信内容,从而导致访问交互式数据的用户中途被篡改。一般来说,当用户在某些地方使用WiFi和共享密码时,当使用某些网络应用程序时,例如用手机或电脑浏览网页,攻击者可以指导通过WPA/WPA2的缺陷,用户访问虚假网站甚至篡改用户访问的内容。
此次发现的缺陷更加底层,攻击者只需要破解目标网络密码,无须接入即可直接发动攻击。
针对这一风险,阿里安全专家汪嘉恒建议,用户在公共场所可尽量避免使用公共WiFi,尽可能使用移动网络也就是4G上网。如果要使用安全度较低的公共WiFi也要避免登录手机银行等容易泄露关键密码等信息的应用,同时启动一些防钓鱼软件。
阿里高级安全专家汪嘉恒和高级安全工程师谢君,在加拿大温哥华公布了这项研究成果,他们表示,保护WiFi安全需要业界各界的共同努力,并应加快实施可以解决这一缺陷的新标准。比如加速推行新标准WPA3协议的普及落地,替代WPA2,保护用户安全。