Your browser does not support JavaScript!
Google  

 

 

:::
[106/10/17] (iThome) 【Wi-Fi加密大崩壞】看過來! 面對KRACK攻擊威脅該如何自保?
資料來源:iThome
 
在WPA2漏洞被修補之前,使用者可透過以下方式應變自保,包括儘可能昇級裝置韌體或作業系統,或是安裝HTTPS擴充程式降低漏洞攻擊的威脅,企業也可採用VPN服務加密所有網路流量,而對使用者來說最直接有效的方式就是先不要使用Wi-Fi,改用乙太網路或行動網路。
比利時研究人員在周一(10/16)揭露了WPA2 (Wi-Fi Protected Access 2)Wi-Fi安全協定中的10個漏洞,將允許駭客存取或干預裝置與無線網路之間的通訊內容,並祭出了KRACK概念性驗證攻擊,儘管尚未傳出災情,但漏洞一公開威脅便大增,除了仰賴業者的修補行動之外,使用者亦應作好安全措施以求自保。
 
一、更新所有的裝置與作業系統
使用者應儘可能升級任何具備Wi-Fi功能的裝置韌體或作業系統,從路由器、IoT裝置到桌面作業系統與行動作業系統等。其中,微軟已於今年10月10日的例行性更新中修補了相關漏洞,思科與Netgear亦正陸續部署更新,Google則是準備在未來幾周修補受到波及的裝置。根據估計,有41%的Android裝置受到漏洞影響。
 
二、安裝HTTPS擴充程式
KRACK主要攻陷裝置與無線網路之間的安全傳輸,但因HTTPS可帶來端對端的加密傳輸,理論上能夠減輕KRACK攻擊所帶來的威脅。
若不確定所造訪的網站是否採用HTTPS加密通訊協定,使用者可安裝由電子前線基金會(EFF)所開發的 HTTPS Everywhere 瀏覽器擴充程式,該擴充程式支援Chrome、Firefox與Opera。
 
三、採用VPN服務
虛擬私有網路(Virtual Private Network,VPN)能夠加密所有的網路流量,因此也受到不少資安研究人員的推薦,以用來對抗KRACK攻擊。
然而,也有人擔心採用VPN服務可能衍生隱私問題,因為也許駭客看不見使用者在Wi-Fi網路上的傳輸內容,但VPN業者卻可能紀錄使用者的網路流量。
 
四、使用乙太網路或行動數據
假使不確定Wi-Fi裝置或網路是否安全,使用者可以關閉裝置上的Wi-Fi功能,並轉而使用有線的乙太網路或是電信業者所提供的行動網路。
在上述方式中,最有效的仍是完善修補WPA2中的10個安全漏洞,但這同時需要業者與使用者的配合,資安業者呼籲製造商應加速修補的腳步,而使用者則需密切注意業者的更新。
目前看來KRACK攻擊最大的限制是駭客必須處於目標對象的Wi-Fi網路範圍中,市場普遍認為一般使用者不容易成為駭客的攻擊目標,反倒是企業或是較具價值的商用網路風險較高,此外,現階段亦尚無攻擊工具問世。
 
Wi-Fi漏洞微軟已修補 安裝更新確保安全
Wi-Fi網路加密協定上發現的KRACK漏洞可能導致數以百萬計的使用者易遭攻擊,微軟今天表示,10月10日已釋出安全性更新,已安裝或開啟自動更新的用戶可受到保護。
法新社報導,美國政府的電腦應變中心發布安全公告,表示試圖利用無線網路竊聽或劫持裝置的駭客,可利用稱之為「密鑰重裝攻擊(Key Reinstallation Attack,簡稱KRACK)」的漏洞下手。
對此,微軟發布英文聲明指出,已於10月10日釋出安全性更新,對於有開啟Windows Update自動更新服務或已安裝相關安全性更新的用戶,可自動受到保護。
 
瀏覽數