技术标准存缺陷 专家:接入公共Wi-Fi不要使用支付类应用

                      2019-03-27 09:02:46来源:科技日报

                      技术标准存在缺陷,专家建议——接入公共Wi-Fi不要使用支付类应用

                      最近,关于Wi-Fi的新闻总让人有些忧虑。前不久,央视3·15晚会曝光了Wi-Fi探针盒子,它可以迅速识别出用户手机的MAC地址,在神不知鬼不觉中进行所谓的用户画像。近日,在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上,又有安全专家指出了Wi-Fi的重大新问题——基于WPA/WPA2的防止重放机制(PN号)设计上存在缺陷,攻击者可以利用这一缺陷,精确攻击使用某个Wi-Fi网络中的一个或几个用户。

                      这一问题由阿里安全猎户座实验室资深安全专家谢君和高级安全工程师汪嘉恒在大会上披露。

                      谢君介绍,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一?#30452;?#25252;无线网络Wi-Fi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。不过自2004年推出以来,已陆续有研究人员指出其存在的缺陷可导致安全问题。

                      “我们这次发现的缺陷更加底层,攻击者只需知道目标网络的密码,无需接入目标网络即可直接发起攻击。”谢君告诉科技日报记者,攻击者可以利用防止重放机制的设计缺陷,将用户和接入点之间的连接直接劫持,转化为中间人攻击。具体?#27492;担?#23601;是攻击者可监听用户与Wi-Fi接入点的通信,在?#40092;?#30340;时机发送伪造的数据或者劫持用户与Wi-Fi接入点的连接,篡改正常的通信内容,导致用户访问交互的数据中途被篡改。

                      通俗理解,这?#27490;?#20987;可以欺骗用户访?#22987;?#30340;网站,甚至篡改真实网站的内容。“?#28909;?#21407;来网站显示的是不要把验证码告诉第三方,我可以给你?#26576;?#35831;把验证码发送到xxxx之类。”谢君说。如果访?#24066;?#20551;的网站被钓鱼,用户的账号密码就有被窃取的风险,进而有可能遭受经济损失。

                      发动攻击的可能性有多高?答案是,近乎100%。只要Wi-Fi密码被攻击者知晓,攻击者即可对接入网络的任何一个端发起攻击。不过,目前来看,利用这一防止重放机制设计缺陷来进行攻击的技术门槛非常高。因此,用户也不用太过紧张。谢君建议,接入公共Wi-Fi后,还是要尽量避免使用敏感应用,?#28909;?#38134;行类或者支付类产品,或者登录某些需要输入用户名和密码的网站。“这?#27490;?#20987;只能诱使用户输入敏感内容,而不能从什么都不做的用户那里窃取信息,只要小心即可。”

                      当然,还有更简单直接的风险规避方式,那就是在公共场所尽量避免使用公共Wi-Fi,尽量使用移动网络上网。

                      谢君表示,保护Wi-Fi安全需要行业各界共同努力。去年6月国际上已推出新标准WPA3协议,他呼吁应加速推行这一新标准的普及落地,更好地保障用户上网安全。(记者 张盖伦)


                      责?#20266;?#36753;:陈鹏宇
                      扫描二维码分享朋友圈
                      本站部分文字及图片转载于网络,如?#22336;?#21040;您的权益,请及时通知我们即刻删除
                      •  
                      • 点击量排行
                      • 时政
                      • 经济
                      • 社会
                      • 国内
                      • 国际

                      延边新闻网举报电话: 0433-2518770   E-mail:[email protected]
                      地址:吉林省延吉市光明街89号 ?#26102;啵?33000
                      互联网新闻信息服务许可证编号:22120180019
                      吉ICP备09000490号-3吉公网安备 22240102000346号
                      ? 2007-?#20004;?延边新闻网 版权所有

                      微信公众号
                      延边网

                      延边新闻网
                      手机端

                      新浪微博
                      延边新闻网

                      人民网微博
                      延边新闻网

                      地址:吉林省延吉市光明街89号

                      ?#26102;啵?33000

                      电话:0433-2518770

                      邮箱:[email protected]

                      时时彩开群软件

                                                              飞鱼开奖结果 新疆喜乐彩票走势图大全 竞彩足球比分直播360 外围广东快乐十分技巧 管家婆六肖中特百分百%期期准 nba篮彩官网 广西十一选五开奖视频 排列三走势图带线 自创六肖公式规律计算法 广东26选5玩法规则 河南11选5开奖结果走势图 虎扑篮球 一码中特是不是真的 海南飞鱼1018开奖号码 浙江风采网双色球走势图