你瀏覽的網站可能是個假網站!阿里安全專家預警WiFi缺陷
今年央視315晚會上曝光的WiFi探針收集使用者資訊的熱度還未消退,阿里安全專家研究發現了WiFi的重大新問題:基於WPA/WPA2設計上存在的一些缺陷,使用者在使用公共WiFi時,攻擊者可以透過這一缺陷,精確地攻擊某個WiFi網路中的某一個或某幾個使用者,導致使用者在瀏覽網頁時遭到釣魚,進而造成資訊洩露或經濟損失。
3月22日,阿里安全獵戶座實驗室資深安全專家侯客、高階安全工程師青惟在加拿大溫哥華舉辦的世界頂級資訊保安峰會CanSecWest2019上披露了這一研究成果。在演講中,他們表示,保護WiFi安全需要行業各界共同努力,應加速推行能解決這一缺陷的新標準落地。
圖說:侯客(左)、青惟(右)在發表演講。
侯客介紹,WPA全稱為WiFi Protected Access,有WPA、WPA2兩個標準,是一種保護無線網路WiFi存取安全的技術標準。目前,WPA2是使用最廣泛的安全標準,不過自2004年推出以來,已陸續有研究人員指出其存在的缺陷可導致WiFi不安全。
阿里安全的工程師們最新研究發現,攻擊者可以被動的監聽使用者與WiFi接入點的通訊,在適合的時機發送偽造的資料或者劫持使用者與WiFi接入點的連線,篡改正常的通訊內容,導致使用者訪問互動的資料中途被篡改。
通俗的說,當用戶在家裡、酒店、餐廳、商場等一些場所,用共享密碼的WiFi,使用一些網路應用時,比如用手機或電腦瀏覽網頁,攻擊者透過WPA/WPA2的缺陷,可以引導使用者到假的網站,甚至篡改使用者正在訪問網站的內容。
相比央視315晚會曝光的WiFi探針,僅是收集使用者資訊,進而通過其他關聯資訊給使用者畫像,而阿里安全工程師發現的這一風險,一旦讓攻擊者得逞,其後果更為嚴重。“在這種攻擊下,使用者上網的質量不但會受到影響,訪問虛假的網站被釣魚後,使用者的賬號密碼也有被竊取的風險,進而遭受經濟損失。”
針對這一風險,侯客在演講中建議,使用者在公共場所儘量避免使用公共WiFi,儘量使用行動網路上網。他還呼籲,保護WiFi安全需要行業各界共同努力,去年6月已推出新標準WPA3協議,應加速推行這一新標準的普及落地,替代WPA2,保護使用者安全。
據公開報道顯示,近年來已有數十位阿里安全工程師登上安全領域的國際頂級會議發表演講,與國際上知名的安全領域專家探討、共建網路安全。