更多

    WPA2 爆 KRACKs 漏洞危害所有 Wi-Fi 裝置

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    戴在指節、觸覺反饋、力度偵測  Apple VR/AR 用指戴裝置專利曝光

    Apple 研發 AR 頭戴裝置的傳聞近月再次成為熱門話題,不過現在大家注目的焦點不單在頭戴裝置本身和它的推出日期,現在還多了一件小巧的穿戴裝置。據美國專利和商標局的文件顯示, Apple 已取得一款安裝在手指節上的控制裝置的專利,將用來配合 AR 頭戴裝置上的鏡頭來進行操控。

    防止第三方 USB-C Hub 損害 MacBook 筆電  Apple 發佈 macOS Big Sur 11.2.2

    Apple 剛發佈 macOS Big Sur 11.2.2 ,據 Apple 的公布指出,這次更新主要是為了防止 2019 年或以後推出的 MacBook Pro 和 2020 年或以後推出的 MacBook Air ,在使用不合規格的第三方供電 USB-C Hub 或底座時對筆電造成損害。

    用兩年就要換機?! Apple M1 Mac 被指 SSD 過量寫入損害壽命

    Apple M1 Mac 推出後各界對其性能都有相當高評價,尤其令人嘖嘖稱奇的是雖然 M1 處理器的內置統一記憶體最多只有 16GB ,不過就能輕鬆應付 8K 影片剪接工作,性能上不比備有 32GB 記憶體的 Intel Mac 差。不過似乎這卓越性能是有代價的。有網友發現 Apple M1 Mac 異常頻繁對 SSD 進行寫入動作,嚴重耗損它的壽命。有人更估計,以這個進度, 256GB 容量的 M1 Mac 可能少於兩年就需要更換。

    已經成為生活不可或缺的 Wi-Fi 最近發現名為 KRACKs 的保安漏洞,危及絕大部分 Wi-Fi 裝置的安全。據知 Microsoft 經已在 10 月 10 日推出的更新中修正有關漏洞,但 Apple 相關的 OS 和 Android 就要在數星期內才有更新推出。

    今次發現的 WPA2 漏洞屬協定層級的漏洞,所以幾乎所有裝置,包括無線路由器、電腦、手機以至有 Wi-Fi 的智能手錶都遭殃。
    今次發現的 WPA2 漏洞屬協定層級的漏洞,所以幾乎所有裝置,包括無線路由器、電腦、手機以至有 Wi-Fi 的智能手錶都遭殃。

    據在比利時荷蘭語天主教魯汶大學研究網絡安全的 Mathy Vanhoef 指出,在負責管理 Wi-Fi 加密的 WPA2 保安協定裡發現幾個漏洞,他以 KRACKs (金鑰重裝攻擊, Key Reinstallation Attacks )為代號,指出駭客可以利用這種攻擊來入侵網絡。在歐洲黑帽子大會的網站上已披露了有關漏洞的簡介,並會在今年 12 月舉行的大會上作簡介。
    [row][double_paragraph]
    Mathy Vanhoef 開設了網站說明這次發現的 WPA2 漏洞
    Mathy Vanhoef 開設了網站說明這次發現的 WPA2 漏洞

    [/double_paragraph][double_paragraph]
    專門討論入侵與保安技術的歐洲黑帽子大會將會就這次發現的漏洞進行簡介會
    專門討論入侵與保安技術的歐洲黑帽子大會將會就這次發現的漏洞進行簡介會

    [/double_paragraph] [/row]
    本來 WPA2 是被視為保安程度較高的 Wi-Fi 加密機制,現在 WPA2 被破解,代表駭客可以在沒有密碼的情況下輕易連接 Wi-Fi AP ,入侵區域網絡內部的 PC 、 手機以至 IoT 機器。由於這是協定層級的漏洞,所以不論你有沒有做足防範措施和更新,使用個人或企業 WPA2,同樣會受到影響。
    幸好的是現時被發現漏洞的是用來管理加密鍵的 WPA2 協定,而不是用來進行加密的 AES 演算法。而暫時仍未有證據證明這個漏洞已被駭客利用。 Mathy Vanhoef 在說明這個漏洞的網站上指出應付這次漏洞的幾點:

    • 應更新所有裝置;
    • 沒有必要改變 Wi-Fi 密碼;
    • 由於這漏洞只針對「 4 路握手( 4-way handshake )」流程,部分路由器或許不需要作保安更新,詳情應向生產商查詢;
    • 不應該因為未有更新檔推出而暫時轉用 WEP 加密,應該繼續使用 WPA2 ,因為它仍是現時最安全的 Wi-Fi 保安協定;

    而香港電腦保安事故協調中心就加入了以下解決方案:

    • 使用 SSL/TLS 來加密敏感資料。有需要時使用 VPN 方案作資料傳輸;
    • 切勿使用公共 Wi-Fi 處理敏感資料;
    • 考慮使用有線網絡或流動數據;

    香港電腦保安事故協調中心亦已就這次漏洞提供解決的建議
    香港電腦保安事故協調中心亦已就這次漏洞提供解決的建議

    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決,而各大廠商已陸續推出相關的靭體更新。大家要注意這個漏洞是雙方向的,所以除了要更新 Wi-Fi 路由器的靭體之外,電腦和手機的 OS 也要進行更新。問題是商場餐廳或公共交通工具等公共 Wi-Fi 會不會做有關更新就不得而知。
    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決。
    由於事態嚴重, Wi-Fi 聯盟已發表聲明,指這個洞漏可以透過更新靭體來解決。

    據知 Microsoft 已經在 10 月 10 日推出的更新中修訂了有關漏洞,而 Apple 旗下的多個 OS : iOS 、 tvOS 、 watchOS 、 macOS 的更新都已經進入 Beta 階段,正式版預計在數星期內推出,而他們出品的 AirPort 系列無線路由器和 Time Capsule 就不受今次漏洞影響。而 Google 方面就表示會在數星期內為所有受影響平台推出修正檔,而 Pixel 手機就會在 11 月 6 日推出的每月更新中修訂有關問題。
    [row][double_paragraph]
    Windows 的 10 月份更新除了修訂這次 WPA2 漏洞外,還包括 27 項緊急保安修訂,用戶應該立即更新。
    Windows 的 10 月份更新除了修訂這次 WPA2 漏洞外,還包括 27 項緊急保安修訂,用戶應該立即更新。

    [/double_paragraph][double_paragraph]
    各大廠商都會陸續推出修訂檔
    各大廠商都會陸續推出修訂檔

    [/double_paragraph] [/row]

    您會感興趣的內容

    相關文章