Wi-Fi 聯盟推出的新一代標準 WPA3 Wi-Fi,被資安研究者找出被取名為 Dragonblood 的一組漏洞。如果被駭客掌握,只要位於受害者的範圍之內,駭客將有辦法取得 Wi-Fi 的密碼,進而侵入網路。
資安學者發布論文,指出 Dragonblood 總共有 5 個漏洞,一個 DDoS 攻擊、兩個降級攻擊、兩個旁路攻擊。後面 4 個漏洞允許攻擊者取得網路密碼。
兩個降級攻擊手法能夠使 WPA3 相容網路,用舊的不安全的密碼交換機制,讓攻擊者用舊的漏洞取得密碼。兩個旁路攻擊則能欺騙裝置用較弱的演算法,透露有關網路的一些資訊,反覆重覆攻擊之後,駭客就有機會取得完整密碼。
Wi-Fi 聯盟的聲明指出,。Wi-Fi WPA3 的保護機制 Dragonfly,比起十年前的 WPA2 保護機制,能防護猜密碼的狀況。WPA3 的 SAE 比起單純的網路密碼,更能防護。
這次資安學者整理 Dragonblood 的狀況,並且與 Wi-Fi 聯盟還有 CERT/CC 合作,通知所有裝置設備商,防堵向下相容時造成攻擊者可利用的漏洞。手上有裝置的人,除了確保韌體升級修補漏洞以外,以及用密碼管理器、隨機產生的密碼,還有至少 13 位數組成的複雜密碼,都是不少資安研究者先前建議過的方法。(本文由科技新報授權轉載,首圖來源:Dragonblood)
