曝Wi-Fi重大缺陷：你瀏覽的或是個假網站

今年央視315晚會上曝光的Wi-Fi探針收集使用者資訊的熱度還未消退，阿里安全專家研究發現了Wi-Fi的重大新問題：基於WPA/WPA2設計上存在的一些缺陷，使用者在使用公共Wi-Fi時，被攻擊者釣魚，進而造成資訊洩露或經濟損失。

3月22日，在加拿大溫哥華舉辦的世界頂級資訊保安峰會CanSecWest2019上，阿里安全獵戶座實驗室資深安全專家侯客、高階安全工程師青惟披露了這一研究成果。

侯客介紹，WPA全稱為WiFi Protected Access，有WPA、WPA2兩個標準，是一種保護無線網路WiFi存取安全的技術標準。目前，WPA2是使用最廣泛的安全標準，不過自2004年推出以來，已陸續有研究人員指出其存在的缺陷可導致Wi-Fi不安全。

阿里安全的工程師們最新研究發現，攻擊者可以被動的監聽使用者與Wi-Fi接入點的通訊，在適合的時機傳送偽造的資料或者劫持使用者與Wi-Fi接入點的連線，篡改正常的通訊內容，導致使用者訪問互動的資料中途被篡改。

通俗的說，當使用者在家裡、酒店、餐廳、商場等一些場所，用共享密碼的Wi-Fi，使用一些網路應用時，比如用手機或電腦瀏覽網頁，攻擊者透過WPA/WPA2的缺陷，可以引導使用者到假的網站，甚至篡改使用者正在訪問網站的內容。

相比央視315晚會曝光的WiFi探針，僅是收集使用者資訊，進而通過其他關聯資訊給使用者畫像，而阿里安全工程師發現的這一風險，一旦讓攻擊者得逞，其後果更為嚴重。“在這種攻擊下，使用者上網的質量不但會受到影響，訪問虛假的網站被釣魚後，使用者的賬號密碼也有被竊取的風險，進而遭受經濟損失。”

針對這一風險，侯客在演講中建議，使用者在公共場所儘量避免使用公共Wi-Fi，儘量使用行動網路上網。他還呼籲，保護WiFi安全需要行業各界共同努力，去年6月已推出新標準WPA3協議，應加速推行這一新標準的普及落地，替代WPA2，保護使用者安全。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31559985/viewspace-2641876/，如需轉載，請註明出處，否則將追究法律責任。