你浏览的网站可能是个假网站!阿里安全专家披露 WiFi 缺陷
今年央视 315 晚会上曝光的 WiFi 探针收集用户信息的热度还未消退,阿里安全专家研究发现了 WiFi 的重大新问题:基于 WPA/WPA2 设计上存在的一些缺陷,用户在使用公共 WiFi 时,攻击者可以透过这一缺陷,精确地攻击某个 WiFi 网络中的某一个或某几个用户,导致用户在浏览网页时遭到钓鱼,进而造成信息泄露或经济损失。
3 月 22 日,阿里安全猎户座实验室资深安全专家侯客、高级安全工程师青惟在加拿大温哥华举办的世界顶级信息安全峰会 CanSecWest2019 上披露了这一研究成果。在演讲中,他们表示,保护 WiFi 安全需要行业各界共同努力,应加速推行能解决这一缺陷的新标准落地。
侯客(左)、青惟(右)在世界顶级信息安全峰会 CanSecWest2019 发表演讲侯客介绍,WPA 全称为 WiFi Protected Access,有 WPA、WPA2 两个标准,是一种保护无线网络 WiFi 存取安全的技术标准。目前,WPA2 是使用最广泛的安全标准,不过自 2004 年推出以来,已陆续有研究人员指出其存在的缺陷可导致 WiFi 不安全。
阿里安全的工程师们最新研究发现,攻击者可以被动的监听用户与 WiFi 接入点的通信,在适合的时机发送伪造的数据或者劫持用户与 WiFi 接入点的连接,篡改正常的通信内容,导致用户访问交互的数据中途被篡改。
通俗的说,当用户在家里、酒店、餐厅、商场等一些场所,用共享密码的 WiFi,使用一些网络应用时,比如用手机或电脑浏览网页,攻击者透过 WPA2 的缺陷,可以引导用户到假的网站,甚至篡改用户正在访问网站的内容。
相比央视 315 晚会曝光的 WiFi 探针,仅是收集用户信息,进而通过其他关联信息给用户画像,而阿里安全工程师发现的这一风险,一旦让攻击者得逞,其后果更为严重。「在这种攻击下,用户上网的质量不但会受到影响,访问虚假的网站被钓鱼后,用户的账号密码也有被窃取的风险,进而遭受经济损失。」
针对这一风险,侯客在演讲中建议,用户在公共场所尽量避免使用公共 WiFi,尽量使用移动网络上网。他还呼吁,保护 WiFi 安全需要行业各界共同努力,去年 6 月已推出新标准 WPA3 协议,应加速推行这一新标准的普及落地,替代 WPA2,保护用户安全。
据公开报道显示,近年来已有数十位阿里安全工程师登上安全领域的国际顶级会议发表演讲,与国际上知名的安全领域专家探讨、共建网络安全。
