編者按：本文來自微信公眾號“極客公園”（ID：geekpark），作者：誰是大英雄，36氪經(jīng)授權(quán)發(fā)布。

如今，你可能每天都離不開 Wi-Fi，它像水、電、空氣一樣包圍你的生活。所以，當不少人看到今天關(guān)于 Wi-Fi 被曝出重大安全漏洞的新聞時，心里都一陣恐慌，擔(dān)心自己連上 Wi-Fi 的手機被黑客「黑掉」。但是，事實真有那么可怕嗎？

Wi-Fi 安全性出現(xiàn)漏洞，是比利時魯汶大學(xué)安全研究員 Mathy Vanhoef 近日在他的論文里指出的問題。

他發(fā)現(xiàn) WPA2 加密協(xié)議存在漏洞并可被破解，在某些情況下，攻擊者可利用漏洞嗅探到使用 Wi-Fi 的客戶端的通信數(shù)據(jù)包（流量）并可以劫持該客戶端到一個釣魚 AP 上，實現(xiàn)流量劫持、篡改等。這意味著，黑客可能會借此竊取你的手機密碼，攔截你的財務(wù)數(shù)據(jù)，甚至操控你的手機。對，即便你更改 Wi-Fi 密碼也無法避免。

作為 Wi-Fi 通信加密方式，WPA2 從 2004 年起，就作為 Wi-Fi 聯(lián)盟面向社會推行的強制性標準使用至今，Mathy Vanhoef 的研究是對它第一次的破解，而在 WPA2 背后，正是全球數(shù)以億計的電子設(shè)備，因此引發(fā)如此強烈的反應(yīng)便不難理解。

Vanhoef 將這一漏洞命名為「KRACK」，是「Key Reinstallation Attack」（密鑰重安裝攻擊）的縮寫。他發(fā)現(xiàn) WPA2 在四路握手（four-way handshake）時，允許擁有預(yù)共享密碼的新設(shè)備加入網(wǎng)絡(luò)，而這正是問題本身，黑客可以切入進用戶連接的路由器并替換原來的連接，讓其連到其它路由器上，從而達到數(shù)據(jù)挾持的目的。

Vanhoef 對一部 Android 智能手機執(zhí)行了一次 KRACK，結(jié)果顯示攻擊者有能力對受害者傳輸?shù)娜繑?shù)據(jù)進行解密。他表示密鑰重裝攻擊對于 Linux 以及 Android 6.0 或者更高版本系統(tǒng)擁有強大的破壞性。Vanhoef 對此在論文中講了很多，如果你感興趣，不妨看看他的論文內(nèi)容 。

「問題出在 wpa_supplicant （一個開源軟件項目）身上，因為 Android Wi-Fi 系統(tǒng)引入了 wpa_supplicant，它的整個 Wi-Fi 系統(tǒng)以 wpa_supplicant 為核心來定義上層用戶接口和下層驅(qū)動接口，由于該模塊客戶端功能實現(xiàn)上的問題，導(dǎo)致漏洞容易被觸發(fā)。」360 無線電安全研究院負責(zé)人楊卿告訴極客公園，雖然這次漏洞本身危害嚴重，但由于作者并未公布該漏洞的測試程序和具體攻擊方法，并且該漏洞對攻擊環(huán)境有足夠高的要求，所以初步分析對我們的隱私以及財產(chǎn)影響不大。

所以說，目前即便黑客了解到這其中的隱患，想要利用也有不低的成本。并且，利用這種缺陷無法批量對無線客戶端進行攻擊，只能一個一個攻擊客戶端，對于黑客來說攻擊效率低下，所以普通用戶中招的可能性很小。

說到這你應(yīng)該可以緩口氣，對于每天都要用 Wi-Fi 的我們來說，雖然今天的新聞并不是好消息，但我們還不至于草木皆兵。

「這個漏洞可以實現(xiàn)對目標網(wǎng)絡(luò)或主機通信的監(jiān)聽。主要用途應(yīng)該是做流量劫持攻擊。比如誘使目標訪問到釣魚網(wǎng)站，欺騙下載惡意軟件?！公C豹移動安全專家李鐵軍告訴極客公園，如果用戶端和服務(wù)器之間采用加密的通信，被這種漏洞攻擊的影響就更小。

所幸，這次漏洞事件可以通過系統(tǒng)安全補丁來彌補，目前包括微軟、Google、蘋果在內(nèi)的公司都做出回應(yīng)，會在接下來對系統(tǒng)做出安全升級。

而考慮到目前每天都在拿著智能手機使用的我們來說，如果你非常擔(dān)心自己受到到影響，下面這些來自安全專家的建議可以幫到你：

• 及時更新無線路由器、手機，智能硬件等所有使用 WPA2 無線認證客戶端的軟件版本。（有補丁的前提下） 
  

• 有條件的企業(yè)及個人請合理部署 WIPS（無線入侵防御系統(tǒng)），及時監(jiān)測合法 WiFi 區(qū)域內(nèi)的惡意釣魚 Wi-Fi，并加以阻斷干擾，使其惡意 Wi-Fi 無法正常工作。 
  

• 無線通信連接使用加密隧道及強制 SSL 規(guī)避流量劫持與中間人攻擊造成的信息泄漏。 
  

• 在不使用 Wi-Fi 時關(guān)閉手機 WiFi 功能，公共 Wi-Fi 下不要登錄有關(guān)支付、財產(chǎn)等賬號、密碼。如需登錄、支付，將手機切換至數(shù)據(jù)流量網(wǎng)絡(luò)。 
  

• 家用 Wi-Fi 該怎么使用就怎么使用，WPA/WPA2 本身是安全的，也不用修改 WiFi 密碼。