近日,阿里安全专家研究发现了WiFi的重大新问题:基于WPA/WPA2设计上存在的一些缺陷,用户在使用公共WiFi时,攻击者可以透过这一缺陷,精确地攻击某个WiFi网络中的某一个或某几个用户,导致用户在浏览网页时遭到钓鱼,进而造成信息泄露或经济损失。
3月22日,阿里安全猎户座实验室资深安全专家侯客、高级安全工程师青惟在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上披露了这一研究成果。
据侯客介绍,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线电脑网络(WiFi)安全的系统。目前,WPA2是使用最广泛的安全标准,不过自2004年推出以来,已陆续有研究人员指出其存在的缺陷可导致WiFi不安全。
侯客(左)、青惟(右)发表演讲。
隐私护卫队了解到,阿里安全的工程师们最新研究发现,攻击者可以被动监听用户与WiFi接入点的通信,在适合的时机发送伪造的数据或者劫持用户与WiFi接入点的连接,导致用户访问交互的数据中途被篡改。
简单来说,在家里、酒店、餐厅、商场等一些场所,用户连上了共享密码的WiFi后,用手机或电脑浏览网页时,攻击者可透过WPA/WPA2的缺陷,引导用户浏览至假的网站,甚至篡改用户正在访问网站的内容。
“在这种攻击下,用户上网的质量不但会受到影响,而且访问虚假的钓鱼网站后,还有可能被窃取账号密码,进而遭受经济损失。” 侯客说。
针对这一风险,侯客建议,用户在公共场所应尽量避免使用公共WiFi,多使用移动网络上网。他还呼吁,保护WiFi安全需要行业各界共同努力,去年6月已推出新标准WPA3协议,应加速推行这一新标准的普及落地,替代WPA2,保护用户安全。
采写:南都记者李玲