接入公共Wi-Fi不要使用支付類應(yīng)用
最近,關(guān)于Wi-Fi的新聞總讓人有些憂慮。前不久,央視3·15晚會曝光了Wi-Fi探針盒子,它可以迅速識別出用戶手機(jī)的MAC地址,在神不知鬼不覺中進(jìn)行所謂的用戶畫像。近日,在加拿大溫哥華舉辦的世界頂級信息安全峰會CanSecWest2019上,又有安全專家指出了Wi-Fi的重大新問題——基于WPA/WPA2的防止重放機(jī)制(PN號)設(shè)計上存在缺陷,攻擊者可以利用這一缺陷,精確攻擊使用某個Wi-Fi網(wǎng)絡(luò)中的一個或幾個用戶。
這一問題由阿里安全獵戶座實(shí)驗(yàn)室資深安全專家謝君和高級安全工程師汪嘉恒在大會上披露。
謝君介紹,WPA全稱為WiFi Protected Access,有WPA、WPA2兩個標(biāo)準(zhǔn),是一種保護(hù)無線網(wǎng)絡(luò)Wi-Fi存取安全的技術(shù)標(biāo)準(zhǔn)。目前,WPA2是使用最廣泛的安全標(biāo)準(zhǔn)。不過自2004年推出以來,已陸續(xù)有研究人員指出其存在的缺陷可導(dǎo)致安全問題。
“我們這次發(fā)現(xiàn)的缺陷更加底層,攻擊者只需知道目標(biāo)網(wǎng)絡(luò)的密碼,無需接入目標(biāo)網(wǎng)絡(luò)即可直接發(fā)起攻擊。”謝君告訴科技日報記者,攻擊者可以利用防止重放機(jī)制的設(shè)計缺陷,將用戶和接入點(diǎn)之間的連接直接劫持,轉(zhuǎn)化為中間人攻擊。具體來說,就是攻擊者可監(jiān)聽用戶與Wi-Fi接入點(diǎn)的通信,在合適的時機(jī)發(fā)送偽造的數(shù)據(jù)或者劫持用戶與Wi-Fi接入點(diǎn)的連接,篡改正常的通信內(nèi)容,導(dǎo)致用戶訪問交互的數(shù)據(jù)中途被篡改。
通俗理解,這種攻擊可以欺騙用戶訪問假的網(wǎng)站,甚至篡改真實(shí)網(wǎng)站的內(nèi)容!氨热缭瓉砭W(wǎng)站顯示的是不要把驗(yàn)證碼告訴第三方,我可以給你改成請把驗(yàn)證碼發(fā)送到xxxx之類!敝x君說。如果訪問虛假的網(wǎng)站被釣魚,用戶的賬號密碼就有被竊取的風(fēng)險,進(jìn)而有可能遭受經(jīng)濟(jì)損失。
發(fā)動攻擊的可能性有多高?答案是,近乎100%。只要Wi-Fi密碼被攻擊者知曉,攻擊者即可對接入網(wǎng)絡(luò)的任何一個端發(fā)起攻擊。不過,目前來看,利用這一防止重放機(jī)制設(shè)計缺陷來進(jìn)行攻擊的技術(shù)門檻非常高。因此,用戶也不用太過緊張。謝君建議,接入公共Wi-Fi后,還是要盡量避免使用敏感應(yīng)用,比如銀行類或者支付類產(chǎn)品,或者登錄某些需要輸入用戶名和密碼的網(wǎng)站!斑@種攻擊只能誘使用戶輸入敏感內(nèi)容,而不能從什么都不做的用戶那里竊取信息,只要小心即可!
當(dāng)然,還有更簡單直接的風(fēng)險規(guī)避方式,那就是在公共場所盡量避免使用公共Wi-Fi,盡量使用移動網(wǎng)絡(luò)上網(wǎng)。
謝君表示,保護(hù)Wi-Fi安全需要行業(yè)各界共同努力。去年6月國際上已推出新標(biāo)準(zhǔn)WPA3協(xié)議,他呼吁應(yīng)加速推行這一新標(biāo)準(zhǔn)的普及落地,更好地保障用戶上網(wǎng)安全。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市