當架設無線網路環境時,大多建議使用者採用 WPA2 加密方式進行連線,不過資安專家近日提出警告,表示這種連線加密方式存有漏洞風險,影響所及將造成網路交易資料和私人訊息遭人窺探。
將概念驗證實作化的攻擊手法被稱為 KRACK(Key Reinstallation Attacks),KRACK 能透過連接端點(例如:手機與無線路由器)之間的驗證漏洞展開數種攻擊手法。
雖然所有透過 WPA2 加密連線的裝置都處於威脅之下,但在演示範例中,又以 Android 和 Linux 系統最容易遭受 KRACK 攻擊,藉由導向未經 SSL 加密的 HTTP 網址,便能錄得使用者所輸入的帳號、密碼和信用卡號等資訊。
這代表 WPA2 已經被完全破解?實際上並非如此,KRACK 本身無法還原 WPA2 裝置連線密碼,也無法取得隨機密鑰和重發密鑰等經過加密保護的傳輸內容,同時使用者與網路的連接方式,也會影響 KRACK 手法的成功機率。
此外,由於 WPA2 加密協定可透過修補漏洞方式防堵攻擊,因此預期各大廠商將會展開大規模修補措施,建議大家留意更新資訊,並確保將所有設備都能安裝補丁。這段時間傳輸敏感資訊,可以盡量使用 4G LTE 等行動網路連線方式降低風險。至於那些白牌或預期不會更新的裝置,還是儘早淘汰比較妥當。