两名安全研究人员发现WPA3漏洞

你是说我的安全毯不安全？Ars Technica在得知WPA3协议中发现允许对手获取Wi-Fi密码并访问目标网络的漏洞后咯咯笑了起来。

“不幸的是，”两位研究人员说，我们发现，即使使用WPA3，受害者范围内的攻击者仍然可以恢复网络的密码。这使得对手能够窃取敏感信息，如信用卡、密码、电子邮件等。而受害者不使用额外的保护层，如HT TPS。"

WPA3于2018年首次亮相，由Wi-Fi联盟发布，旨在保护Wi-Fi网络免受入侵者攻击。它错过了什么雄性？Dark Reading提到了“握手过程中的缺陷”，这可能会导致“对用作网络凭据一部分的密码的低成本攻击。”

低价攻击？这是什么意思？Ars Technica的丹古丁写道，WPA3的设计缺陷导致了无线安全问题，“尤其是在低成本的互联网设备中。”

该攻击涉及一个允许传统WPA2设备连接到启用WPA3的接入点的过程；黑暗阅读说，由此产生的操作打开了这个过程，“对用于身份验证的密码进行暴力字典攻击”。

这对于影响力有多重要？《黑暗阅读》援引Wi-Fi联盟营销副总裁凯文罗宾逊的话说。并非所有WPA3个人设备都受到影响，甚至有少数设备可以通过软件更新修复。

登录过程中存在一个漏洞，可能会使WPA3不安全。具体来说，Dark Reading报告了“Equals(SAE)握手同步认证的侧信道漏洞问题”。后者被进一步描述为“WPA3优于WPA2的关键部分”。

因为SAE握手叫蜻蜓；研究人员称这组漏洞为龙血。

发现这一缺陷的两个人是纽约大学阿布扎比分校的Mathy Vanhoef和特拉维夫大学的Eyal Ronen和KULeuven。

(ZDNet的CatalinCimpanu解释说，在一次侧信道信息泄露攻击中，“支持WiFiWPA3的网络可以欺骗设备使用较弱的算法，泄露少量关于网络密码的信息。经过反复攻击，最终可以恢复完整的密码。

丹古丁对这一发现并不感到震惊。他写道：“目前的WPA2版本(从21世纪中叶开始使用)遇到了一个已知十多年的严重设计缺陷。

他说，四次握手是一个加密过程，用于向接入点认证计算机、电话和平板电脑，反之亦然，并包含一个哈希网络密码。“连接到网络的设备范围内的任何人都可以记录这次握手。短密码或非随机密码将在几秒钟内被破解。”

幸运的是，他们在博客上写道，我们预计我们与Wi-Fi联盟的合作和协调将使供应商能够在WPA3流行之前减轻我们的攻击。"

4月10日，Wi-Fi联盟发布声明称，他们所谓的“WPA3-Personal”的早期实现数量有限，这些设备被允许在运行攻击者软件的设备上收集侧信道信息，不正确地执行一些密码操作或使用不适当的密码元素。

他们表示，少数受影响的设备制造商“已经开始部署补丁来解决这些问题”。这些问题可以通过软件更新来缓解，而不会对设备协同工作的能力产生任何影响。没有证据表明这些漏洞已经被利用”。

Wi-Fi联盟感谢两位研究人员Vanhoef和Ronen发现并“负责任地报告这些问题，以便行业在广泛的行业部署WPA3-Personal之前能够积极准备更新。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！