研究人員在WPA3協(xié)議中發(fā)現(xiàn)的一系列漏洞可能允許攻擊者獲取Wi-Fi網(wǎng)絡(luò)的密碼。

新版本的WiFi安全協(xié)議WPA3于2018年6月正式推出，旨在提供更好的保護(hù)，防止脫機(jī)字典攻擊和密碼猜測(cè)嘗試，即使使用不太復(fù)雜的密碼也能提高安全性，并提前保密即使密碼已被泄露，也可以保護(hù)通信。

[[262196]]

WPA3也有漏洞了!

WPA3將提供個(gè)人和企業(yè)版本，將逐步取代WPA2，但它可能需要幾年時(shí)間才能被廣泛采用。與此同時(shí)，WPA2將繼續(xù)得到維護(hù)和改進(jìn)。

紐約大學(xué)阿布扎比分校的Mathy Vanhoef和特拉維夫大學(xué)的Eyal Ronen以及KU Leuven分析了WPA3，特別是其平等同步認(rèn)證(SAE)握手，通常稱為Dragonfly。值得注意的是，Vanhoef是發(fā)現(xiàn)WPA2漏洞的研究人員之一，稱為KRACK(密鑰重新安裝攻擊)。

Vanhoef和Ronen對(duì)WPA3的分析導(dǎo)致發(fā)現(xiàn)了兩種類型的漏洞，稱為Dragonblood，可用于恢復(fù)Wi-Fi網(wǎng)絡(luò)的密碼：允許降級(jí)攻擊的漏洞和可能導(dǎo)致旁道漏洞的漏洞。他們還發(fā)現(xiàn)了一個(gè)漏洞，可以利用這個(gè)漏洞在繞過(guò)WPA3中的DoS保護(hù)機(jī)制后在接入點(diǎn)(AP)上導(dǎo)致拒絕服務(wù)(DoS)條件。

據(jù)專家介紹，這些密碼分區(qū)攻擊可以使用價(jià)值125美元的Amazon EC2計(jì)算能力執(zhí)行8個(gè)字符的小寫密碼。CVE標(biāo)識(shí)符CVE-2019-9494已分配給側(cè)通道缺陷。

Vanhoef和Ronen表示，位于目標(biāo)Wi-Fi網(wǎng)絡(luò)范圍內(nèi)的攻擊者可以獲取密碼并獲取敏感信息，例如密碼，電子郵件，支付卡號(hào)碼以及通過(guò)即時(shí)消息應(yīng)用程序發(fā)送的數(shù)據(jù)。

【W(wǎng)i-Fi聯(lián)盟是一個(gè)非營(yíng)利組織，其全球成員網(wǎng)絡(luò)維護(hù)著Wi-Fi技術(shù)，他表示這些漏洞只會(huì)影響“WPA3-Personal早期實(shí)施的數(shù)量有限”，并且沒有證據(jù)表明它們已經(jīng)被開發(fā)用于惡意目的。“WPA3-Personal處于部署的早期階段，受影響的少數(shù)設(shè)備制造商已經(jīng)開始部署補(bǔ)丁來(lái)解決問題。這些問題都可以通過(guò)軟件更新得到緩解，而不會(huì)對(duì)設(shè)備能夠很好地協(xié)同工作產(chǎn)生任何影響，“該組織表示?！?/p>