賈浩楠 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號 QbitAI

你正在用的wifi，被發(fā)現(xiàn)了重大漏洞！

下至賬號密碼，上至設(shè)備權(quán)限，沒有一個(gè)是安全的。

而且，漏洞波及所有連接WiFi的設(shè)備。

WiFi本來已經(jīng)是和陽光空氣一樣普遍的東西，已經(jīng)是當(dāng)代人生存必要條件之一

但這次被發(fā)現(xiàn)的漏洞，卻在WiFi最底層的協(xié)議中，“潛伏”了24年。

漏洞有多嚴(yán)重？

毫不夸張地說，手機(jī)、電腦，還是智能音箱、手表這類AI設(shè)備，無一幸免。

最先發(fā)現(xiàn)漏洞的荷蘭魯汶大學(xué)Mathy Vanhoef教授，實(shí)況演示了這些漏洞會(huì)造成怎樣的嚴(yán)重后果。

首先是通過WiFi截取關(guān)鍵的賬號和密碼。

利用漏洞，黑客鎖定目標(biāo)WiFi，然后“克隆”一個(gè)特征完全相同的網(wǎng)絡(luò)。

然后，給受害者發(fā)一封鏈接WiFi的認(rèn)證郵件或短信，其中包含一張“人畜無害”的圖片，受害者在加載時(shí)，會(huì)自動(dòng)收到一個(gè)TCP包。

而這個(gè)TCP包，會(huì)在原有的WiFi協(xié)議框架里注入新的幀，受害者下一次打開WiFi連接時(shí)，就會(huì)自動(dòng)連上假WiFi。

接著，黑客只需要使用Wireshark這種抓包工具，就能截取使用者在網(wǎng)絡(luò)上收發(fā)的信息。

基本上，你在網(wǎng)絡(luò)上輸入賬號密碼這類操作，相當(dāng)于“實(shí)況直播”給了黑客。

當(dāng)然，這種手段最適合機(jī)場、酒店這種公共場合WiFi。

但是，攻擊者也可以多花一些功夫，偽裝成網(wǎng)絡(luò)運(yùn)營商給家庭WiFi用戶發(fā)郵件。

第二種威脅，是攻擊者直接利用WiFi遠(yuǎn)程獲取設(shè)備使用權(quán)限，比如電腦、智能音響，監(jiān)控?cái)z像等等。

演示中，Vanhoef以一個(gè)可以連接WiFi進(jìn)行遠(yuǎn)程控制的智能臺(tái)燈為例。

首先，他先通過使用同一WiFi的蘋果mac電腦追蹤到目標(biāo)IP地址，由于WiFi協(xié)議中的漏洞，甚至不用知道WiFi密碼，就能遠(yuǎn)程操控設(shè)備：

試想一下，如果黑客操控的是家中的智能家居、或智能音箱這類帶有攝像錄音功能的設(shè)備，會(huì)有多么可怕的后果。

最后，利用這些漏洞，攻擊者還可以實(shí)現(xiàn)非常復(fù)雜的黑客操作。

因?yàn)檫@些漏洞存在于協(xié)議底層，意味著即使不接入公共網(wǎng)絡(luò)，僅在局域網(wǎng)的設(shè)備也面臨風(fēng)險(xiǎn)。

比如演示中的目標(biāo)是一臺(tái)隔絕于外網(wǎng)的Win7系統(tǒng)電腦。

攻擊者只要同樣接入這個(gè)局域網(wǎng)，就能利用漏洞直接擊穿路由防火墻，把程序植入目標(biāo)電腦。

接下來，在受害者電腦上的一舉一動(dòng)，都被實(shí)時(shí)直播：

而且，攻擊者還能遠(yuǎn)程奪取控制權(quán)，或者悄悄植入程序。

△演示中遠(yuǎn)程打開了系統(tǒng)的計(jì)算器

如此危險(xiǎn)的漏洞，到底是怎么出現(xiàn)的呢？

“潛伏”24年的漏洞

這次發(fā)現(xiàn)的漏洞，涉及基本所有的WiFi安全協(xié)議，包括最新的WPA3規(guī)范。

甚至WiFi的原始安全協(xié)議，即WEP，也在其中。

這意味著，這幾個(gè)設(shè)計(jì)缺陷自1997年發(fā)布以來一直“潛伏”在WiFi中。

但幸運(yùn)的是，這些缺陷并不是那么容易被利用，因?yàn)檫@樣做需要用戶互動(dòng)，或者在不常見的網(wǎng)絡(luò)設(shè)置時(shí)才可能。

所以這也是為什么這些漏洞能潛伏24年之久。

所以，在實(shí)踐中，最大的隱患來自WiFi產(chǎn)品中設(shè)計(jì)缺陷。

純文本注入漏洞

黑客可以輕松地將幀注入到受保護(hù)的Wi-Fi網(wǎng)絡(luò)中。

攻擊者通常會(huì)精心構(gòu)建一個(gè)框架來注入未加密的WiFi。

針對路由器，也可以被濫用來繞過防火墻。

而在實(shí)際中，某些Wi-Fi設(shè)備允許接受任何未加密的幀，即使連接的是受保護(hù)的WiFi網(wǎng)絡(luò)。

這意味著攻擊者不需要做任何特別的事情。此外，許多windows上的WiFi加密在被分割成幾個(gè)（明文）片段時(shí)，也會(huì)錯(cuò)誤地接受明文幀。

幀聚合漏洞

幀聚合功能本來是將小幀合并成一個(gè)較大的聚合幀來提高網(wǎng)絡(luò)的速度和吞吐量。

為了實(shí)現(xiàn)這一功能，每個(gè)幀都包含一個(gè)標(biāo)志，表示加密傳輸?shù)臄?shù)據(jù)是否包含一個(gè)單一的或聚合的幀。

但這個(gè) “聚合 “標(biāo)志沒有經(jīng)過驗(yàn)證，可以被對手修改，這意味著受害者可以被欺騙，以一種非預(yù)期的方式處理加密傳輸?shù)臄?shù)據(jù)。

幀碎片功能漏洞

第二個(gè)缺陷是Wi-Fi的幀碎片功能。

該功能通過將大的幀分割成較小的片段來增加連接的可靠性。

當(dāng)這樣做時(shí)，屬于同一幀的每個(gè)片段都使用相同的密鑰進(jìn)行加密。

然而，接收者并不需要檢查這一點(diǎn)，他們會(huì)重新組合使用不同密鑰解密的片段。在極少數(shù)情況下，這可以被濫用來滲出數(shù)據(jù)。

路由器端驗(yàn)證信息缺失

一些路由器會(huì)將握手幀轉(zhuǎn)發(fā)給終端，即使來源還沒有任何認(rèn)證。

這個(gè)漏洞允許對手進(jìn)行聚合攻擊，并注入任意的幀，而無需用戶互動(dòng)。

此外，還有另一個(gè)極其常見的漏洞，接收端也從不檢查收到的所有的片段是否屬于同一個(gè)框架，這意味著對手可以通過混合兩個(gè)不同框架的手段來偽造信息。

最后，市面上還有一些設(shè)備將碎片幀作為全幀處理，這樣的缺陷可以被濫用來注入數(shù)據(jù)包。

怎么辦？

WiFi底層協(xié)議帶著一身漏洞狂奔了24年，如今無數(shù)設(shè)備都在使用。

再想從底層協(xié)議開始改，要付出的成本和工作量不可想象。

Mathy Vanhoef專門開發(fā)出了測試工具，可以檢驗(yàn)設(shè)備是否存在前面所說的漏洞。

還在Github上貼出了所有漏洞標(biāo)識(shí)符。

既然不能改WiFi協(xié)議，唯一的方法就是升級設(shè)備了。

目前升級程序還在制作中，不久就會(huì)放出來。