精品一区精品二区制服_亚洲日韩AV无码不卡一区二区三区_亚洲一区AV无码专区在线观看_久久久久人妻一区二区三区

您的位置:首頁 > 教育頻道 >

技術(shù)標準存缺陷 專家:接入公共Wi-Fi不要使用支付類應用

來源: 科技日報 時間: 2019-03-27 16:21:38

技術(shù)標準存在缺陷,專家建議——接入公共Wi-Fi不要使用支付類應用

最近,關(guān)于Wi-Fi的新聞總讓人有些憂慮。前不久,央視3·15晚會曝光了Wi-Fi探針盒子,它可以迅速識別出用戶手機的MAC地址,在神不知鬼不覺中進行所謂的用戶畫像。近日,在加拿大溫哥華舉辦的世界頂級信息安全峰會CanSecWest2019上,又有安全專家指出了Wi-Fi的重大新問題——基于WPA/WPA2的防止重放機制(PN號)設計上存在缺陷,攻擊者可以利用這一缺陷,精確攻擊使用某個Wi-Fi網(wǎng)絡中的一個或幾個用戶。

這一問題由阿里安全獵戶座實驗室資深安全專家謝君和高級安全工程師汪嘉恒在大會上披露。

謝君介紹,WPA全稱為WiFi Protected Access,有WPA、WPA2兩個標準,是一種保護無線網(wǎng)絡Wi-Fi存取安全的技術(shù)標準。目前,WPA2是使用最廣泛的安全標準。不過自2004年推出以來,已陸續(xù)有研究人員指出其存在的缺陷可導致安全問題。

“我們這次發(fā)現(xiàn)的缺陷更加底層,攻擊者只需知道目標網(wǎng)絡的密碼,無需接入目標網(wǎng)絡即可直接發(fā)起攻擊。”謝君告訴科技日報記者,攻擊者可以利用防止重放機制的設計缺陷,將用戶和接入點之間的連接直接劫持,轉(zhuǎn)化為中間人攻擊。具體來說,就是攻擊者可監(jiān)聽用戶與Wi-Fi接入點的通信,在合適的時機發(fā)送偽造的數(shù)據(jù)或者劫持用戶與Wi-Fi接入點的連接,篡改正常的通信內(nèi)容,導致用戶訪問交互的數(shù)據(jù)中途被篡改。

通俗理解,這種攻擊可以欺騙用戶訪問假的網(wǎng)站,甚至篡改真實網(wǎng)站的內(nèi)容。“比如原來網(wǎng)站顯示的是不要把驗證碼告訴第三方,我可以給你改成請把驗證碼發(fā)送到xxxx之類。”謝君說。如果訪問虛假的網(wǎng)站被釣魚,用戶的賬號密碼就有被竊取的風險,進而有可能遭受經(jīng)濟損失。

發(fā)動攻擊的可能性有多高?答案是,近乎100%。只要Wi-Fi密碼被攻擊者知曉,攻擊者即可對接入網(wǎng)絡的任何一個端發(fā)起攻擊。不過,目前來看,利用這一防止重放機制設計缺陷來進行攻擊的技術(shù)門檻非常高。因此,用戶也不用太過緊張。謝君建議,接入公共Wi-Fi后,還是要盡量避免使用敏感應用,比如銀行類或者支付類產(chǎn)品,或者登錄某些需要輸入用戶名和密碼的網(wǎng)站。“這種攻擊只能誘使用戶輸入敏感內(nèi)容,而不能從什么都不做的用戶那里竊取信息,只要小心即可。”

當然,還有更簡單直接的風險規(guī)避方式,那就是在公共場所盡量避免使用公共Wi-Fi,盡量使用移動網(wǎng)絡上網(wǎng)。

謝君表示,保護Wi-Fi安全需要行業(yè)各界共同努力。去年6月國際上已推出新標準WPA3協(xié)議,他呼吁應加速推行這一新標準的普及落地,更好地保障用戶上網(wǎng)安全。(記者 張蓋倫)

關(guān)鍵詞:
色达县| 滁州市| 年辖:市辖区| 英吉沙县| 吴桥县| 竹溪县| 富平县| 华坪县| 无棣县| 望城县| 望江县| 上高县| 三都| 吉木萨尔县| 赫章县| 湘潭县| 永善县| 西林县| 荥经县| 视频| 额敏县| 公安县| 南郑县| 平和县| 乳源| 新建县| 余庆县| 英吉沙县| 宁海县| 儋州市| 格尔木市| 龙陵县| 广州市| 双鸭山市| 惠安县| 大城县| 麟游县| 治县。| 六安市| 道孚县| 布尔津县|