花粉俱乐部  logo

花粉俱乐部  因为热爱
搜索 |
[系统安全]

WPA2 被攻破了!华为啥时候发布修复补丁啊?

[复制帖子标题和链接]

20782

花生酱加蓝莓  初窥门径  发表于 2017-10-18 09:33:28 来自:浏览器

最新回复 2017-10-19 08:39:22

近日,外媒报道国外 2 位安全技术专家发现了用于保全现代 WiFi 设备的 WPA2 协议中的严重弱点。攻击者可利用密钥重安装攻击(KRACKs)窃取诸如信用卡、密码、聊天信息、电子邮件、照片等敏感信息。
除了 WPA2,WPA 和仅用 AES 的 WiFi 网络,都能通过 KRACK 手段攻破。

什么是 WPA/WPA2 ?
WPA 全名为 Wi-Fi Protected Access,有 WPA 和 WPA2 两个标准,是一种保护无线网络(Wi-Fi)安全的系统。它是应研究者在前一代的有线等效加密(WEP)系统中找到的几个严重的弱点而产生的。
WPA 加密方式尚有一漏洞,攻击者可利用 spoonwpa 等工具,搜索到合法用户的网卡地址,并伪装该地址对路由器进行攻击,迫使合法用户掉线重新连接,在此过程中获得一个有效的握手包,并对握手包批量猜密码,如果猜密的字典中有合法用户设置的密码,即可被破解。
目前,大多数企业和许多新的 Wi-Fi 产品/设备都支持 WPA2 协议。截止到 2006 年 03 月,WPA2 已经成为一种强制性的标准。


Q&A 部分
问:我的 WiFi 网络/设备会有危险么?
可能。理论上任何使用 WIFi 的设备都易受攻击。随时关注设备厂商的最新安全通告。如有新补丁,请及时更新。
国内安全人员表示,
@杨卿-Ir0nSmith:用户不必过度恐慌,1,该漏洞Poc利用代码及未公布,2,该漏洞属于范围性影响,需处在合法wifi附近的百米左右的信号范围,3,该漏洞仍属于高级攻击利用,一般人员短时间不具备使用其发动攻击的能力。
@sunwear:我的意见是不必恐慌,至少大部分人不必害怕,你有多大几率会有个黑客邻居?这个现在也没有傻瓜自动化利用工具搞得遍地都是,即使有中间人攻击,信用卡银行卡就这么容易被盗?这里面涉及到很多种技术。还是多担心走路的时候少玩手机别被车撞了吧,这个概率更大。

厂商的回应
微软
微软于10月10日发布安全补丁,使用Windows Update的客户可以使用补丁,自动防卫。我们及时更新,保护客户,作为一个负责任的合作伙伴,我们没有披露信息,直到厂商开发并发布补丁。
苹果iOS和Mac
苹果证实iOS、MacOS、WatchOS、TVOS有一个修复补丁,在未来几周内就会通过软件升级的形式提供给客户。
谷歌移动/谷歌Chromecast/ Home/ WiFi
我们已经知道问题的存在,未来几周会给任何受影响的设备打上补丁。
谷歌Chromebook
暂时没有发表评论。
亚马逊Echo、FireTV和Kindle
我们的设备是否存在这样的漏洞?公司正在评估,如果有必要就会发布补丁。
三星移动、三星电视、三星家电
暂时没有发表评论。
思科
暂时没有发表评论。
Linksys/Belkin
Linksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。我们一直将客户放在第一位,会在安全咨询页面发布指导意见,告诉客户如何升级产品,如果需要就能升级。
Netgear
最近安全漏洞KRACK曝光,Netgear已经知道,KRACK可以利用WPA2安全漏洞发起攻击。Netgear已经为多款产品发布修复程序,正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。
Netgear高度重视安全问题,不断监控自己的产品,及时了解最新威胁。对于紧急安全问题,我们会防预而不是事后采取行动,这是Netgear的基本信念。
为了保护用户,Netgear公开发布修复程序之后才披露漏洞的存在,没有提到漏洞的具体信息。一旦有了修复程序,Netgear会通过“Netgear产品安全”页面披露漏洞。
Eero
我们已经知道WAP2安全协议存在KRACK漏洞。安全团队正在寻找解决方案,今天晚些时候就会公布更多信息。我们打造了云系统,针对此种情况可以发布远程更新程序,确保所有客户及时获得更新软件,自己不需要采取任何动作。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia
暂时没有发表评论。
英特尔
ICASI和CERT CC已经通知英特尔,说WPA2标准协议存在漏洞。英特尔是ICASI的成员,为“协调的漏洞披露(Coordinated Vulnerability Disclosure,CVD)”贡献了自己的力量。
英特尔正在与客户、设备制造商合作,通过固件和软件更新的方式应对漏洞。如果想获得更多信息,可以访问英特尔安全咨询页面。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/联想/戴尔/Roku/LG电子/LG移动/LG家电/通用电气
暂时没有发表评论。
Nest
我们已经知道漏洞的存在,未来几周将会为Nest产品推出补丁。
飞利浦Hue
KRACK攻击利用了WiFi协议。我们建议客户使用安全WiFi密码,在手机、计算机及其它WiFi设备上最新补丁,防范此类攻击。飞利浦Hue本身并不直接支持WiFi,因此不需要防范补丁。还有,我们的云帐户API可以用HTTPS进行保护,增强安全,这是一个额外的安全层,不会受到KRACK攻击的影响。
Kwikset/Yale/Schlage/Rachio/iHome/伊莱克斯/Frigidaire/Netatmo/Control4
暂时没有发表评论。
Roost
Roost接收或者发送的数据流都用最新的SSL/TLS加密技术进行端到端加密。我们认为自己的设备没有风险。建议用户听从WiFi Alliance的建议,在Access点使用WiFi加密,安装最新的软件补丁。


huafans01219297831  新学乍练  发表于 2017-10-19 08:34:55 来自:HUAWEI MLA-AL10
同问
huafans01219297831  新学乍练  发表于 2017-10-19 08:39:22 来自:HUAWEI MLA-AL10
诺基亚官方消息说今年下半年旗下所有机型会同步更新到7.0以上,这是除了苹果外的第一家系统更新能够让用户满意的厂家,请问华为是不是也会提供这样的售后条件?
您需要登录后才可以回帖 登录 | 立即注册

EMUI10.0
用户组申请
版规
最新精华
  • 感知是我们与世界对话的方式——华为P系列
  • 感知是我们与世界对话的方式——华为P系列
  • 感知是我们与世界对话的方式——华为P系列
  • 感知是我们与世界对话的方式——华为P系列

工具下载

  • 花粉客户端官方

    Make it Possible

华为软件专区

关注花粉俱乐部

粤ICP备19015064号-4|备案主体编号:44201919072182| 粤公网安备 44190002003939号

Copyright © 2012-2020 华为终端有限公司 版权所有

快速回复 返回顶部 返回列表