Wi-Fi 漏洞 Kr00k 曝光：全球數十億臺裝置受影響

由賽普拉斯半導體和博通製造的 Wi-Fi 晶片存在嚴重安全漏洞，讓全球數十億臺裝置非常容易受到黑客的攻擊，能讓攻擊者解密他周圍空中傳輸的敏感資料。

在今天開幕的 RSA 安全會議中，這項安全漏洞被公開。而對於 Apple 使用者而言，該問題已在去年 10 月下旬釋出的 iOS 13.2  和 macOS 10.15.1 更新中得到了解決。

安全公司 ESET 在 RSA 會議上詳細介紹了這個漏洞，黑客可以利用稱為 Kr00k 的漏洞來中斷和解密 Wi-Fi 網路流量。該漏洞存在於賽普拉斯和博通的 Wi-Fi 晶片中，而這是擁有全球市場份額較高的兩大品牌，從膝上型電腦到智慧手機、從 AP 到物聯網裝置中都有廣泛使用。

其中亞馬遜的 Echo 和 Kindle、蘋果的 iPhone 和 iPad、谷歌的 Pixel、三星的 Galaxy 系列、樹莓派、小米、華碩、華為等品牌產品中都有使用。保守估計全球有十億臺裝置受到該漏洞影響。

黑客利用該漏洞成功入侵之後，能夠擷取和分析裝置傳送的無線網路資料包。Ars Technica 表示：

Kr00k 利用了無線裝置從無線接入點斷開關聯時出現的漏洞。如果終端使用者裝置或 AP 熱點遭到攻擊，它將把所有未傳送的資料幀放入傳送緩衝區，然後再無線傳送它們。易受攻擊的裝置不是使用先前協商並在正常連線期間使用的會話金鑰來加密此資料，而是使用由全零組成的金鑰，此舉使解密變得不太可能。

一件好事是，Kr00k 錯誤僅影響使用 WPA2-個人或 WPA2-企業安全協議和 AES-CCMP 加密的 Wi-Fi 連線。 這意味著，如果使用賽普拉斯半導體和博通 Wi-Fi 晶片組裝置，則可以防止黑客使用最新的 Wi-Fi 驗證協議 WPA3 進行攻擊。

據釋出有關該漏洞的詳細資訊的 ESET 稱，該漏洞已與潛在受影響的各方一起公開給了賽普拉斯半導體和博通。目前，大多數主要製造商的裝置補丁已釋出。

來源：cnBeta.COM

更多資訊

iOS 13 全系越獄釋出：iPhone 6s 到 iPhone 11 皆支援

前不久，Pwn20wnd 團隊釋出 unc0ver v4.0.0，實現對 A12~A13 處理器 iOS 13 裝置的越獄支援，換言之，iPhone XS 系列、iPhone XR、iPhone 11 系列、現款 iPad Pro/iPad Air/iPad mini 均“解鎖金身”。

來源：快科技
詳情連結： https://www.dbsec.cn/blog/news.html 

HackerOne 報告：2019 年有 7 位道德黑客賞金收入超 100 萬美元

黑客活動變得更加頻繁，但從某種角度來說這並不是一件壞事。漏洞懸賞平臺 HackerOne 近日釋出了道德黑客狀況年度報告，表示在 2020 年該組織已擁有 60 萬名白帽黑客，成員規模是去年的兩倍。而且在過去的 12 個月中這些白帽黑客賺取的賞金突破了4000萬美元。

來源：快科技
詳情連結： https://www.dbsec.cn/blog/news.html 

美國警方曝多起遭勒索軟體攻擊失去證據事件 致六名毒犯獲自由

檢察官被迫放棄對六名毒犯的 11 項毒品案件指控，由於佛羅里達警方受到勒索軟體攻擊，關鍵證據丟失。該起攻擊發生在 2019 年 4 月，事後警方只從備份檔案中恢復了一部分資料，其他一些資料無法恢復，其中就有這 11 項毒品案件的資料，主要有照片和視訊資料。主辦案件的警探表示，這 11 項指控包括擁有冰毒、可卡因，生產、銷售和分發毒品等等。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/news.html 

資料洩露暴露了面部識別公司 Clearview AI 客戶列表

一家面部識別創業公司，早些時候被揭露為美國數百家執法機構所使用，卻遭受了資料洩露。Clearview AI 的律師 Tor Ekeland 的一份宣告說，安全是公司的重中之重。正如 The Daily Beast 最初報導的那樣，訪問的資料包括Clearview的客戶列表，每個客戶擁有的帳戶數量以及這些客戶進行的搜尋次數。

來源：ZDNet
詳情連結： https://www.dbsec.cn/blog/news.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視