更新时间:2022-01-22 15:42:32
你是说我的安全毯不安全?Ars Technica在得知WPA3协议中发现允许对手获取Wi-Fi密码并访问目标网络的漏洞后咯咯笑了起来。
“不幸的是,”两位研究人员说,我们发现,即使使用WPA3,受害者范围内的攻击者仍然可以恢复网络的密码。这使得对手能够窃取敏感信息,如信用卡、密码、电子邮件等。而受害者不使用额外的保护层,如HT TPS。"
WPA3于2018年首次亮相,由Wi-Fi联盟发布,旨在保护Wi-Fi网络免受入侵者攻击。它错过了什么雄性?Dark Reading提到了“握手过程中的缺陷”,这可能会导致“对用作网络凭据一部分的密码的低成本攻击。”
低价攻击?这是什么意思?Ars Technica的丹古丁写道,WPA3的设计缺陷导致了无线安全问题,“尤其是在低成本的互联网设备中。”
该攻击涉及一个允许传统WPA2设备连接到启用WPA3的接入点的过程;黑暗阅读说,由此产生的操作打开了这个过程,“对用于身份验证的密码进行暴力字典攻击”。
这对于影响力有多重要?《黑暗阅读》援引Wi-Fi联盟营销副总裁凯文罗宾逊的话说。并非所有WPA3个人设备都受到影响,甚至有少数设备可以通过软件更新修复。
登录过程中存在一个漏洞,可能会使WPA3不安全。具体来说,Dark Reading报告了“Equals(SAE)握手同步认证的侧信道漏洞问题”。后者被进一步描述为“WPA3优于WPA2的关键部分”。
因为SAE握手叫蜻蜓;研究人员称这组漏洞为龙血。
发现这一缺陷的两个人是纽约大学阿布扎比分校的Mathy Vanhoef和特拉维夫大学的Eyal Ronen和KULeuven。
(ZDNet的CatalinCimpanu解释说,在一次侧信道信息泄露攻击中,“支持WiFiWPA3的网络可以欺骗设备使用较弱的算法,泄露少量关于网络密码的信息。经过反复攻击,最终可以恢复完整的密码。
丹古丁对这一发现并不感到震惊。他写道:“目前的WPA2版本(从21世纪中叶开始使用)遇到了一个已知十多年的严重设计缺陷。
他说,四次握手是一个加密过程,用于向接入点认证计算机、电话和平板电脑,反之亦然,并包含一个哈希网络密码。“连接到网络的设备范围内的任何人都可以记录这次握手。短密码或非随机密码将在几秒钟内被破解。”
幸运的是,他们在博客上写道,我们预计我们与Wi-Fi联盟的合作和协调将使供应商能够在WPA3流行之前减轻我们的攻击。"
4月10日,Wi-Fi联盟发布声明称,他们所谓的“WPA3-Personal”的早期实现数量有限,这些设备被允许在运行攻击者软件的设备上收集侧信道信息,不正确地执行一些密码操作或使用不适当的密码元素。
他们表示,少数受影响的设备制造商“已经开始部署补丁来解决这些问题”。这些问题可以通过软件更新来缓解,而不会对设备协同工作的能力产生任何影响。没有证据表明这些漏洞已经被利用”。
Wi-Fi联盟感谢两位研究人员Vanhoef和Ronen发现并“负责任地报告这些问题,以便行业在广泛的行业部署WPA3-Personal之前能够积极准备更新。”