WPA2爆KRACKs漏洞危害所有Wi-Fi装置

已经成为生活不可或缺的 Wi-Fi 最近发现名为 KRACKs 的保安漏洞，危及绝大部分 Wi-Fi 装置的安全。据知 Microsoft 经已在 10 月 10 日推出的更新中修正有关漏洞，但 Apple 相关的 OS 和 Android 就要在数星期内才有更新推出。

今次发现的 WPA2 漏洞属协定层级的漏洞，所以几乎所有装置，包括无线路由器、电脑、手机以至有 Wi-Fi 的智能手表都遭殃。

据在比利时荷兰语天主教鲁汶大学研究网络安全的 Mathy Vanhoef 指出，在负责管理 Wi-Fi 加密的 WPA2 保安协定里发现几个漏洞，他以 KRACKs （金钥重装攻击， Key Reinstallation Attacks ）为代号，指出骇客可以利用这种攻击来入侵网络。在欧洲黑帽子大会的网站上已披露了有关漏洞的简介，并会在今年 12 月举行的大会上作简介。

Mathy Vanhoef 开设了网站说明这次发现的 WPA2 漏洞

专门讨论入侵与保安技术的欧洲黑帽子大会将会就这次发现的漏洞进行简介会

本来 WPA2 是被视为保安程度较高的 Wi-Fi 加密机制，现在 WPA2 被破解，代表骇客可以在没有密码的情况下轻易连接 Wi-Fi AP ，入侵局域网络内部的 PC 、 手机以至 IoT 机器。由于这是协定层级的漏洞，所以不论你有没有做足防范措施和更新，使用个人或企业 WPA2，同样会受到影响。

幸好的是现时被发现漏洞的是用来管理加密键的 WPA2 协定，而不是用来进行加密的 AES 算法。而暂时仍未有证据证明这个漏洞已被骇客利用。 Mathy Vanhoef 在说明这个漏洞的网站上指出应付这次漏洞的几点：

• 应更新所有装置；
• 没有必要改变 Wi-Fi 密码；
• 由于这漏洞只针对“ 4 路握手（ 4-way handshake ）”流程，部分路由器或许不需要作保安更新，详情应向生产商查询；
• 不应该因为未有更新档推出而暂时转用 WEP 加密，应该继续使用 WPA2 ，因为它仍是现时最安全的 Wi-Fi 保安协定；

而香港电脑保安事故协调中心就加入了以下解决方案：

• 使用 SSL/TLS 来加密敏感资料。有需要时使用 VPN 方案作资料传输；
• 切勿使用公共 Wi-Fi 处理敏感资料；
• 考虑使用有线网络或流动数据；

香港电脑保安事故协调中心亦已就这次漏洞提供解决的建议

由于事态严重， Wi-Fi 联盟已发表声明，指这个洞漏可以透过更新韧体来解决，而各大厂商已陆续推出相关的韧体更新。大家要注意这个漏洞是双方向的，所以除了要更新 Wi-Fi 路由器的韧体之外，电脑和手机的 OS 也要进行更新。问题是商场餐厅或公共交通工具等公共 Wi-Fi 会不会做有关更新就不得而知。

由于事态严重， Wi-Fi 联盟已发表声明，指这个洞漏可以透过更新韧体来解决。

据知 Microsoft 已经在 10 月 10 日推出的更新中修订了有关漏洞，而 Apple 旗下的多个 OS ： iOS 、 tvOS 、 watchOS 、 macOS 的更新都已经进入 Beta 阶段，正式版预计在数星期内推出，而他们出品的 AirPort 系列无线路由器和 Time Capsule 就不受今次漏洞影响。而 Google 方面就表示会在数星期内为所有受影响平台推出修正档，而 Pixel 手机就会在 11 月 6 日推出的每月更新中修订有关问题。

Windows 的 10 月份更新除了修订这次 WPA2 漏洞外，还包括 27 项紧急保安修订，用户应该立即更新。

各大厂商都会陆续推出修订档