無需hacking，新的WiKI-Eve攻擊能夠透過WiFi竊取數字密碼

根據arXiv上的一篇論文，一種名為“WiKI-Eve”的新攻擊方式能夠攔截連線到Wi-Fi路由器的智慧手機的明文傳輸，並以高達90%的準確率推斷出單個數字按鍵，從而竊取到受害者的數字密碼。

該攻擊方式由中國的湖南大學、復旦大學以及新加坡的南洋理工大學三所名校的研究人員提出。為了減少通道負擔和訊號傳輸成本，波束成形反饋資訊是以明文形式傳輸的，因此可能被任何具備監聽模式的網路卡捕獲。而“WiKI-Eve” 正是透過截獲物聯網移動終端裝置（如智慧手機、平板電腦）與Wi-Fi路由器之間傳遞的波束成形反饋資訊，並設計了密碼推理演算法來竊取輸入的解鎖密碼。

該研究團隊發現，識別數字按鍵的準確率達到了90%，解密6位數的數字密碼的準確率為85%，推斷複雜應用程式密碼的準確率約為66%。對攻擊效果影響顯著的一點是，攻擊者與無線接入點之間的距離，將距離從1米增加到10米，猜測成功率下降了23%。研究人員還試驗了獲取微信支付密碼的情況，他們模擬了一個真實的攻擊場景，結果顯示WiKI-Eve能以65.8%的準確率正確推斷出密碼。另外需要注意到，雖然此種攻擊方式只適用於數字密碼，但現實中純數字密碼不在少數。

為防範此類攻擊，需要增強無線接入點和智慧手機應用程序的安全性，例如資料流量加密、鍵盤隨機化等。但加密資料流量會使系統變得複雜，鍵盤隨機化這一間接防禦機制則將複雜性轉移給了使用者，可能會給依賴肌肉記憶輸入密碼的使用者帶來不便。

編輯：左右裡

資訊來源：arXiv

轉載請註明出處和本文連結