新聞中心

新的Wi-Fi加密漏洞披露,超十億臺設備受影響

2020-07-23

3,410
0

應用在變,安全不變


在近日于舊金山舉行的RSA 2020安全會議上,來自斯洛伐克防病毒公司ESET的安全研究人員公布了有關影響WiFi通信的新漏洞的詳細信息。該漏洞存在于Broadcom和Cypress制造的Wi-Fi芯片中,這些芯片存在于超過十億的設備,包括智能手機,平板電腦,筆記本電腦,路由器和IoT小工具。


該漏洞被稱為“ Kr00k”,被標識為CVE-2019-15126,該漏洞可能使附近的遠程攻擊者攔截和解密易受攻擊的設備,通過無線傳輸捕獲無線的網絡數據包。通常,這些數據包使用取決于用戶的WiFi密碼的唯一密鑰進行加密。但是,ESET研究人員說,對于Broadcom和Cypress Wi-Fi芯片,在稱為“解除關聯”的過程中,此密鑰將重置為全零值。


在稱為“取消關聯”的過程中,此密鑰將重置為全零值


攻擊者無需連接到受害者的無線網絡,該漏洞對使用AES-CCMP加密的WPA2-Personal或WPA2-Enterprise協議的易受攻擊的設備有效。它的確使攻擊者能夠捕獲和解密一些無線數據包,但是無法預測它將包含哪些數據。最重要的是,該漏洞破壞了無線層的加密功能,但與TLS加密無關,后者仍然可以確保使用HTTPS的站點的網絡流量的安全。


以下情況不受影響:

1. 該漏洞不存在于Wi-Fi加密協議中;

2. 它不會使攻擊者連接到您的Wi-Fi網絡并針對其他已連接的設備發起進一步的中間人攻擊或利用;

3. 它不會讓攻擊者知道您的Wi-Fi密碼,并且更改它也無法幫助您修復問題;

4. 它不會影響使用最新的Wi-Fi安全標準WPA3協議的現代設備。

 

Kr00k攻擊及其運作方式

設備突然與無線網絡斷開連接時,Wi-Fi芯片會清除內存中的會話密鑰并將其設置為零,但是該芯片會無意間發送帶有緩沖區的所有數據幀。全零加密密鑰,即使在取消關聯后也是如此。因此,靠近易受攻擊的設備的攻擊者可以利用此缺陷,通過空中發送取消身份驗證數據包來捕獲更多數據幀,從而反復觸發解除關聯,“可能包含敏感數據,包括DNS,ARP,ICMP,HTTP,TCP和TLS”包?!?/span>

取消關聯來捕獲數劇幀


成功的攻擊會使您的網絡設備安全性降低,攻擊者可以從易受攻擊的設備捕獲到哪些敏感信息完全取決于缺少網絡流量加密的下一層,也就是非HTTPS的網站。


除此之外,該漏洞還影響嵌入在許多無線路由器中的芯片。


蘋果已經為用戶發布了iPhone、iPad以及macOS相關補?。?/span>


iOS 13.2 and iPadOS 13.2

https://support.apple.com/en-us/HT210721


蘋果公司發布的更新信息


macOS Catalina 10.15:

https://support.apple.com/en-us/HT210722


蘋果公司發布的更新信息


參考鏈接

https://thehackernews.com/2020/02/kr00k-wifi-encryption-flaw.html

https://www.welivesecurity.com/wpcontent/uploads/2020/02/ESET_Kr00k.pdf


首頁  >  新聞中心  >  正文
  • 2017-07-20

    19424
    668

    湯志剛先生表示:安全管理才是創新的關鍵,互聯網金融信息安全是根本,這是一條不會被輕易復制卻極為重要的創新道路。如今黑產早已鋪天蓋地,保護客戶隱私已是金融行業創新的關鍵。信息安全企業的使命要從金融創新安全保障過渡為提高安全保障能力以提升客...

  • 2017-06-23

    19150
    780

    “京滬干線”的完工,在中國乃至全球具有深遠的意義和影響,為率先建成全球化的量子通信衛星網絡奠定了基礎,地面的“京滬干線”與空間的量子衛星共同構成了覆蓋全球的廣域網絡,充分利用衛星覆蓋的廣域性和光纖入戶的便利性,從而真正實現“天地一體化”...

  • 2017-07-17

    17389
    560

    17日下午院士高峰論壇會上,北京國舜科技股份有限公司董事長兼總裁姜強受到業界人士的一致認可,在全國眾多知名企業家候選人中脫穎而出,獲得“2017中國雙創行業先鋒人物”獎。這是本屆雙創會唯一一位互聯網安全領域企業領導人獲得此項榮譽。

  • 2017-07-18

    17167
    580

    國舜股份帶著最前沿的安全技術和創新升級的三大安全產品及服務出現在品牌科技展區,贏得前來觀展的政府領導、院士專家的贊賞,給予充分的肯定和對信息安全領域未來發展的期許。

  • 2017-06-30

    15823
    622

    近日,中國人民銀行印發了《中國金融業信息技術“十三五”發展規劃》,規劃中明確指出,要完善金融信息基礎設施,夯實金融服務基石,健全網絡安全防護體系,增強安全生產和安全管理能力。隨著《網絡安全法》的正式施行,銀行金...

  • 首頁
  • 1
  • 2
  • 末頁

    推薦

    新聞中心

文章分類
熱門文章排行
安全產品
解決方案
關于我們
聯系我們
安全服務

地址:北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
郵編:100044
服務熱線:400-696-8096
電 話:010-82838085
郵箱:
[email protected]

關注我們
Copyright © 2007-2017 unisguard.com All Rights Reserved 北京國舜科技股份有限公司版權所有 京ICP備09050222號 京公網安備110108000272號
什么软件在微信赚钱 山西快乐十分电子开奖 好运彩是正规平台吗 山西11选5投注 大乐透今日预测彩宝贝 黑龙江11选5专家 快乐十分开奖结果 手机赌场平台信誉最好 体彩浙江6 1开奖结果查询 私募基金配资业务 广东11选5开到几点