好几年前WIFI破解早已经被玩儿得稀烂了,从最开始的WEP到wpa2到WPS验证,到现在三四年了也没有爆出更新的关于wifi的攻击方法了。

攻击成本(时间)也是越来越高了。再者这两年出的路由都有wps暴力破解的功能。所以对wifi破解这块已经很久都没兴趣了。

根据前天网上TK教主转发的一个国外文章开始,这个标题看得心里有点不敢相信,结果也没有让我失望,果然成本还是有的,况且没有POC,简单说是一个中间人攻击,并不是直接破解wifi密码,话说回来,要密码的话不是万能钥匙更方便吗?(手动握脸)

 

360独角兽团队杨卿微博原文

KRACKs漏洞成因出在无线协议的WPA2认证过程中

该漏洞不能用于破解使用WPA2无线网络的密码,只是会影响在使用WPA2认证的无线网络之下的无线客户端(如手机、智能设备)

漏洞利用方法是攻击者根据合法WiFi伪造同名的钓鱼WiFi,并利用漏洞迫使无线客户端连接到钓鱼WiFi,这样攻击者就可以对无线客户端的网络流量进行逆行分析甚至进行中间人攻击。

用户不必过度恐慌,1,该漏洞Poc利用代码及未公布,2,该漏洞属于范围性影响,需处在合法wifi附近的百米左右的信号范围,3,该漏洞仍属于高级攻击利用,一般人员短时间不具备使用其发动攻击的能力

所以大家暂不用担心你的邻居会用这个漏洞来偷你的信息@360安全卫士 

防御方法:
1.及时更新无线路由器、手机,智能硬件等所有使用WPA2无线认证客户端的软件版本。(有补丁的前提下)
2.有条件的企业及个人请合理部署WIPS,及时监测合法WiFi区域内的恶意钓鱼WiFi,并加以阻断干扰,使其恶意WiFi无法正常工作。(WIPS的重要性)
3.无线通信连接使用VPN加密隧道及强制SSL规避流量劫持与中间人攻击造成的信息泄漏。
4.国标WAPI无线认证暂不受该漏洞影响。