您的位置: 首頁 >互聯(lián)網(wǎng) >

兩位安全研究人員發(fā)現(xiàn)了WPA3漏洞

2019-05-31 15:48:29 編輯: 來源:
導(dǎo)讀 你的意思是我的安全毯不安全嗎?下一代的標(biāo)準(zhǔn)應(yīng)該使密碼破解過去的事情了,起哄Ars Technica的,當(dāng)?shù)弥┒词窃赪PA3協(xié)議可能允許對手去的Wi

你的意思是我的安全毯不安全嗎?下一代的標(biāo)準(zhǔn)“應(yīng)該使密碼破解過去的事情了,”起哄Ars Technica的,當(dāng)?shù)弥┒词窃赪PA3協(xié)議可能允許對手去的Wi-Fi密碼和訪問目標(biāo)網(wǎng)絡(luò)后發(fā)現(xiàn)。

“不幸的是,”兩位研究人員說,我們發(fā)現(xiàn)即使使用WPA3,受害者范圍內(nèi)的攻擊者仍然可以恢復(fù)網(wǎng)絡(luò)密碼。當(dāng)受害者不使用HTTPS等額外保護層時,這可以讓對手竊取敏感信息,如信用卡,密碼,電子郵件等。“

WPA3于2018年由Wi-Fi聯(lián)盟發(fā)布,旨在保護Wi-Fi網(wǎng)絡(luò)免受入侵者的攻擊。什么男性泄漏?Dark Reading提到“握手過程中的缺陷”,可能會“對用作網(wǎng)絡(luò)憑證一部分的密碼進行低成本攻擊”。

低成本攻擊?那是什么意思?Ars Technica的 Dan Goodin 寫道,WPA3 中的設(shè)計缺陷引發(fā)了對無線安全性的質(zhì)疑,“尤其是低成本的物聯(lián)網(wǎng)設(shè)備”。

該攻擊涉及一個允許傳統(tǒng)WPA2 設(shè)備連接到啟用WPA3的接入點的過程 ; 由此產(chǎn)生的操作打開了“對用于身份驗證的密碼的暴力字典攻擊”的過程,“ Dark Reading說。

關(guān)于影響,這個交易有多大?Dark Reading引用了Wi-Fi聯(lián)盟營銷副總裁Kevin Robinson的話。并非所有WPA3個人設(shè)備都受到影響,甚至可以通過軟件更新修補“少量設(shè)備”。

該登錄過程具有可能使WPA3不太安全的漏洞。具體而言,Dark Reading報告了“等同同步認(rèn)證(SAE)握手的側(cè)通道漏洞問題”。后者被進一步描述為“WPA3對WPA2的改進的關(guān)鍵部分”。

由于SAE握手被稱為Dragonfly; 研究人員稱這一系列漏洞為龍血。

發(fā)現(xiàn)這一漏洞的是紐約大學(xué)阿布扎比的Mathy Vanhoef和特拉維夫大學(xué)的Eyal Ronen以及KU Leuven。

(在側(cè)通道信息泄漏攻擊中,解釋了Catalin Cimpanu,ZDNet,“支持WiFi WPA3的網(wǎng)絡(luò)可以欺騙設(shè)備使用較弱的算法泄漏有關(guān)網(wǎng)絡(luò)密碼的少量信息。通過反復(fù)攻擊,完整的密碼最終可以恢復(fù)。“)

Dan Goodin并沒有對這一發(fā)現(xiàn)感到震驚。“目前的WPA2版本(自2000年代中期以來一直在使用)遭遇了十多年來一直存在的嚴(yán)重設(shè)計缺陷,”他寫道。

他說,四方握手是一個加密過程,用于驗證計算機,電話和平板電腦到接入點,反之亦然 - 并包含網(wǎng)絡(luò)密碼的哈希值。“連接到網(wǎng)絡(luò)的設(shè)備范圍內(nèi)的任何人都可以記錄這次握手。短密碼或那些非隨機的密碼在幾秒鐘內(nèi)就可以輕易破解。”

幸運的是,他們寫了博客,我們希望我們的工作和與Wi-Fi聯(lián)盟的協(xié)調(diào)將使供應(yīng)商能夠在WPA3普及之前減輕我們的攻擊。“

4月10日,Wi-Fi聯(lián)盟發(fā)布了一份聲明,稱他們稱之為“WPA3-Personal的早期實現(xiàn)數(shù)量有限,其中這些設(shè)備允許在運行攻擊者軟件的設(shè)備上收集側(cè)信道信息,但未正確實施加密操作,或使用不合適的加密元素。“

他們表示,受影響的設(shè)備制造商數(shù)量很少“已經(jīng)開始部署補丁以解決問題。這些問題都可以通過軟件更新得到緩解,而不會影響設(shè)備協(xié)同工作的能力。沒有證據(jù)表明這些漏洞已經(jīng)存在。利用“。

Wi-Fi聯(lián)盟感謝兩位研究人員Vanhoef和Ronen發(fā)現(xiàn)并“負(fù)責(zé)任地報告這些問題,允許行業(yè)在廣泛的WPA3-Personal行業(yè)部署之前主動準(zhǔn)備更新。”

他們告訴Wi-Fi用戶他們應(yīng)該確保他們已經(jīng)安裝了設(shè)備制造商提供的最新推薦更新。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。