Wi-Fi安全协议曝出严重漏洞，你的手机或已被黑客监听

每经编辑 郭鑫

现在，到一家餐馆、或到朋友家做客，很多人的第一句话是“Wi-Fi密码是多少”。但是，不管多么复杂的Wi-Fi密码也不安全了。最近，一项研究发现，你家的Wi-Fi可能已经被攻破了。

比利时鲁汶大学（University of Leuven）的研究员玛蒂·范荷夫（MathyVanhoef）发表了一份报告称，保护无线网络（Wi-Fi）的安全协议已经被黑客破解了，这可能会让黑客们监听任何连接至互联网设备的通信。玛蒂·范荷夫称，黑客们已经找到了一种方法来操纵安全背后的加密元素。

报告指出，此次无线网络的问题在于安全标准本身，而不是单独的设备，但这可以影响连接到无线网络的所有设备。范荷夫甚至发现，谷歌的安卓、苹果的iOS和微软的Windows操作系统都可能受到影响。

黑客攻破Wi-Fi安全协议

WPA2是一种保护现代无线网络的安全协议，该协议的原理是使用一种名为“四次握手”（Four-Way Handshake，WPA2的加密通信认证机制）的协议。当某客户端加入一个网络时，会执行“四次握手”协议以获取一个新的加密密钥。接下来的步骤是生成一个新的加密密钥来加密后续的通信。

金山毒霸安全专家李铁军在接受每日经济新闻（微信号：nbdnews）记者采访时表示：

在演示中可以看到，攻击者能够通过收集并重播四次握手中的第3个消息来重演上述操作。如此一来，可强制重复使用随机数，意味着该加密协议即遭攻击影响——具体包括重播数据包、加密数据包以及/或者伪造数据包。

然而，研究报告明确指出，黑客必须在一定的物理范围内才能攻破Wi-Fi安全层。

李铁军对记者表示：

简单理解，就是无线网加密协议出现漏洞，存在被黑客攻击的可能性。黑客破解成功，可以接入内部无线网，用来监听目标网络或设备的通信。

哪些人将受影响？

如今黑客已经能攻破Wi-Fi的安全层，那么，哪些用户的隐私将受到侵犯呢？

答案是，任何连接到Wi-Fi网络上的设备都可能受到影响。但研究人员表示，这一缺陷可能会对Linux操作系统的某个版本造成“灾难性”的打击，对运行安卓6.0和以上版本的设备具有“异常毁灭性”。据谷歌的数据显示，全球有一半的安卓设备正在运行这一版本。但范荷夫表示，他并不确定这一重大的缺陷目前是否正在被不法分子所利用。

研究人员们表示，受到影响的产品供应商于7月14日便收到通知。范荷夫随后向美国计算机应急准备小组（CERT）披露了这一重大漏洞，该小组也于8月28日向供应商发出了通知。

我们是否需要担心？

面对如此重大的无线网络安全漏洞，广大用户是否需要担心？

李铁军对记者表示：“普通用户不用太担心，主要是普通用户的信息价值不高。如果有个黑客做邻居，那被测试入侵的可能性存在。从我们研发讨论的情况看，这个漏洞可以实现对目标网络或主机通信的监听。主要用途应该是做流量劫持攻击。比如诱使目标访问到钓鱼网站，欺骗下载恶意软件。如果用户端和服务器之间采用加密的通信，被这种漏洞攻击的影响要小一些。”

▲移动操作系统在中国的市场份额（图片来源：Statista）

每日经济新闻（微信号：nbdnews）记者注意到，据Statista数据显示，截至2017年7月，中国庞大的移动操作系统市场中，有78.35%的用户所使用的系统是安卓，而20.71%的用户是使用苹果iOS。

对于这两个称霸中国市场的移动操作系统，李铁军表示：“就苹果系统（iOS）而言，受影响的情况要小，因为苹果系统不太容易被安装恶意软件——下载应用得去苹果应用商店。安卓受影响要大一些——因为任何一个安卓APP都有可能在安卓设备上被安装，只要用户允许安装第三方的应用（手机里有个设置）。总的来讲，漏洞可能对高价值目标威胁较大，普通网民不用过于担心。注意升级操作系统或设备固件就好。”

我们该如何防备？

既然Wi-Fi网络有如此大的安全漏洞，那么用户该怎么防备？对此，范荷夫指出，并没有必要更改无线网络的密码。相反，确保路由器的所有设备和固件都得到更新是很重要的。此外，研究人员还指出，人们应该继续使用WPA2协议。

来自美国国土安全部的计算机应急响应小组则建议，在受影响的路由器安装无线网络供应商的更新，例如思科公司（Cisco）销售的路由器。微软公司向美国财经新闻网站The Verge表示，其已经发布了一项安全更新来解决这个问题；谷歌的一位发言人在Twitter上表示，安装了2017年11月6日或以后的安全补丁级别的安卓设备都已得到保护；苹果公司证实有一个修复系统，但目前处于测试阶段，这款修复软件将很快对公众发布。

对此，李铁军向每日经济新闻（微信号：nbdnews）记者表示，协议出现漏洞，往往影响面非常大。因为协议是所有无线网设备共同遵守的标准。所有采用这些协议的设备和操作系统，都需要升级。现在Windows已在10月的安全更新中解决了这个风险。用户升级Windows即可解决。其他设备的用户只需要稍等厂商发布更新，再安装就好。

每经记者 蔡鼎 每经编辑 王嘉琦