(文章來源:cnBeta)
由賽普拉斯半導體(Cypress Semiconductor)和博通(Broadcom)制造的Wi-Fi芯片存在嚴重安全漏洞,讓全球數(shù)十億臺設備非常容易受到黑客的攻擊,能讓攻擊者解密他周圍空中傳輸?shù)拿舾袛?shù)據(jù)。在今天開幕的RSA安全會議中,這項安全漏洞被公開。而對于Apple用戶而言,該問題已在去年10月下旬發(fā)布的iOS 13.2和macOS 10.15.1更新中得到了解決。
安全公司ESET在RSA會議上詳細介紹了這個漏洞,黑客可以利用稱為Kr00k的漏洞來中斷和解密WiFi網(wǎng)絡流量。該漏洞存在于賽普拉斯和博通的Wi-Fi芯片中,而這是擁有全球市場份額較高的兩大品牌,從筆記本電腦到智能 手機 、從AP到物聯(lián)網(wǎng)設備中都有廣泛使用。
其中亞馬遜的Echo和Kindle、 蘋果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、樹莓派、華碩、華為等品牌產(chǎn)品中都有使用。保守估計全球有十億臺設備受到該漏洞影響。黑客利用該漏洞成功入侵之后,能夠截取和分析設備發(fā)送的無線網(wǎng)絡數(shù)據(jù)包。Ars Technica表示:
Kr00k利用了無線設備從無線接入點斷開關聯(lián)時出現(xiàn)的漏洞。如果終端用戶設備或AP熱點遭到攻擊,它將把所有未發(fā)送的數(shù)據(jù)幀放入發(fā)送緩沖區(qū),然后再無線發(fā)送它們。易受攻擊的設備不是使用先前協(xié)商并在正常連接期間使用的會話密鑰來加密此數(shù)據(jù),而是使用由全零組成的密鑰,此舉使解密變得不太可能。
一件好事是,Kr00k錯誤僅影響使用WPA2-個人或WPA2-Enterprise安全協(xié)議和AES-CCMP加密的WiFi連接。 這意味著,如果使用Broadcom或Cypress WiFi芯片組設備,則可以防止黑客使用最新的WiFi驗證協(xié)議WPA3進行攻擊。據(jù)發(fā)布有關該漏洞的詳細信息的ESET Research稱,該漏洞已與潛在受影響的各方一起公開給了Broadcom和Cypress。目前,大多數(shù)主要制造商的設備補丁已發(fā)布。
(責任編輯:fqj)
-
WIFI
+關注
關注
81文章
5297瀏覽量
203595 -
安全漏洞
+關注
關注
0文章
151瀏覽量
16709
發(fā)布評論請先 登錄
相關推薦
評論