新闻频道>>国内
  • 哈尔滨69岁"飞客"极限人生
  • “作”子女,他不是故意的
  • 考前一个月这么练满分不难
  • 下月起这俩热线不卖机票了
  • 烟花三月冰城老人江南骑游
  • 出良谋献实策 开创新局面
  • 隔离开关"发高烧"深夜抢修
  • 买卖街地下停车场复工建设
  • 专家建议:接入公共Wi-Fi不要使用支付类应用
    科技日报2019-03-28 07:59

      最近,关于Wi-Fi的新闻总让人有些忧虑。前不久,央视3·15晚会曝光了Wi-Fi探针盒子,它可以迅速识别出用户手机的MAC地址,在神不知鬼不觉中进行所谓的用户画像。近日,在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上,又有安全专家指出了Wi-Fi的重大新问题——基于WPA/WPA2的防止重放机制(PN号)设计上存在缺陷,攻击者可以利用这一缺陷,精确攻击使用某个Wi-Fi网络中的一个或几个用户。

      这一问题由阿里安全猎户座实验室资深安全专家谢君和高级安全工程师汪嘉恒在大会上披露。

      谢君介绍,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线网络Wi-Fi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。不过自2004年推出以来,已陆续有研究人员指出其存在的缺陷可导致安全问题。

      “我们这次发现的缺陷更加底层,攻击者只需知道目标网络的密码,无需接入目标网络即可直接发起攻击。”谢君告诉科技日报记者,攻击者可以利用防止重放机制的设计缺陷,将用户和接入点之间的连接直接劫持,转化为中间人攻击。具体来说,就是攻击者可监听用户与Wi-Fi接入点的通信,在合适的时机发送伪造的数据或者劫持用户与Wi-Fi接入点的连接,篡改正常的通信内容,导致用户访问交互的数据中途被篡改。

      通俗理解,这种攻击可以欺骗用户访问假的网站,甚至篡改真实网站的内容。“比如原来网站显示的是不要把验证码告诉第三方,我可以给你改成请把验证码发送到xxxx之类。”谢君说。如果访问虚假的网站被钓鱼,用户的账号密码就有被窃取的风险,进而有可能遭受经济损失。

      发动攻击的可能性有多高?答案是,近乎100%。只要Wi-Fi密码被攻击者知晓,攻击者即可对接入网络的任何一个端发起攻击。不过,目前来看,利用这一防止重放机制设计缺陷来进行攻击的技术门槛非常高。因此,用户也不用太过紧张。谢君建议,接入公共Wi-Fi后,还是要尽量避免使用敏感应用,比如银行类或者支付类产品,或者登录某些需要输入用户名和密码的网站。“这种攻击只能诱使用户输入敏感内容,而不能从什么都不做的用户那里窃取信息,只要小心即可。”

      当然,还有更简单直接的风险规避方式,那就是在公共场所尽量避免使用公共Wi-Fi,尽量使用移动网络上网。

      谢君表示,保护Wi-Fi安全需要行业各界共同努力。去年6月国际上已推出新标准WPA3协议,他呼吁应加速推行这一新标准的普及落地,更好地保障用户上网安全。(记者 张盖伦)

    稿源: 科技日报)
    作者: )
    编辑: 张建华
     
    免责声明:凡本网注明“来源:XXX(非哈尔滨新闻网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
  • 哈尔滨入选2018年度十大正能量城市
  • 哈机场停车场将开通“无感支付”
  • 高校教师11种行为被列为“师德失范”
  • 100个中心乡镇将建公益性骨灰寄存堂
  • 住房公积金租房年提取额度上浮25%
  • 我省全国公开选聘省级产业投资集团高管
  • 阳春三月乍暖还寒 市民扎堆来泡温泉
  • 香港科技大学在哈招生不设名额限制
  •  
  • 习近平的情怀:我将无我 不负人民
  • 国务院总理李克强主持召开国务院常务会议
  • 我驻新加坡使馆提醒中国公民谨防电信诈骗
  • 4月1日起内地居民申领出入境证件“全国通办”
  • 今年生育险和医保要合并 五险将变四险?别误解
  • 多地频发"被法人""被高管"现象 身份证被冒用怎么办
  • 中国将坚定不移推动更高水平开放 实现经济高质量发展
  • 为履行两国军事协议 俄罗斯军机飞抵委内瑞拉

  • 版权所有:哈尔滨新闻网 Copyright 2011-2015 www.my399.com All Rights Reserved

    国新网许可证编号:2312006004 经营许可证编号:黑B2-20060663 黑ICP010010-2

    如有任何问题请联系我们 未经许可禁止转载 复制 Email:web@my399.com