近日，有研究人員發(fā)現(xiàn)兩大WiFi安全漏洞，很可能會影響到全球數(shù)十億安卓用戶。

第一個安全漏洞可能影響到 "wpa_supplica nt"，它是無線網(wǎng)絡(luò)（如 WPA（WiFi 保護訪問））安全機制的開源軟件實現(xiàn)。黑客可利用該漏洞創(chuàng)建一個克隆版WiFi熱點并截取用戶數(shù)據(jù)。有安全研究員證實，使用 WPA2/3 企業(yè)模式的 WiFi 網(wǎng)絡(luò)存在風(fēng)險。甚至可以說，全球有 23 億安卓用戶都可能受到這個漏洞的影響。值得一提的是，這種開源實現(xiàn)幾乎存在于 Chromebook 中使用的所有 Linux 設(shè)備和 ChromeOS 中。

黑客利用 wpa_supplicant 漏洞誘騙受害者自動連接到惡意克隆的可信 WiFi 網(wǎng)絡(luò)，從而攔截他們的流量。由于這種攻擊不需要受害者采取任何行動，受害者很可能不知道自己已經(jīng)成為攻擊目標(biāo)。而黑客所需要的只是企業(yè) WPA2/3 網(wǎng)絡(luò)的名稱（SSID），這對于他們來說非常容易，只要在建筑物周圍走動并掃描一下就能輕易獲得。

同時，該漏洞還很可能會影響 PEAP（受保護的可擴展身份驗證協(xié)議）的實施， PEAP 是一種用于更好地保護 WiFi 網(wǎng)絡(luò)安全的安全協(xié)議。當(dāng)目標(biāo)設(shè)備沒有正確配置驗證服務(wù)器時，攻擊者可以跳過驗證的第二階段。

此外，安全研究人員還發(fā)現(xiàn)了另一個漏洞。該漏洞影響到英特爾的 iNet Wireless Daemon（IWD）平臺，這是一個針對 Linux 的綜合連接解決方案，也是開源的，主要用于家庭 WiFi 網(wǎng)絡(luò)。

研究人員警告稱：該漏洞可能會影響到將 IWD 用作接入點的人們，因為該漏洞并不依賴于任何錯誤配置。它允許對手完全訪問現(xiàn)有受保護的 WiFi 網(wǎng)絡(luò)，使現(xiàn)有用戶和設(shè)備面臨攻擊。

可能涉及到的風(fēng)險包括敏感數(shù)據(jù)被截獲、感染惡意軟件或勒索軟件、電子郵件泄露、憑證被盜等。目前這兩個漏洞均已上報給供應(yīng)商，并已得到修補，作為其公共代碼庫的一部分。

同時，安全人員提醒用戶應(yīng)立即更新其軟件，安卓用戶需下載包含 wpa_supplicant 補丁的新安卓安全更新包。在未更新前，安卓用戶應(yīng)手動配置所有已保存的企業(yè)網(wǎng)絡(luò)的 CA 證書以防止遭遇網(wǎng)絡(luò)攻擊。