研究人員成功結(jié)合中間人攻擊（MITM）和社會工程學(xué)技術(shù)，繞過了Wi - Fi保護(hù)協(xié)議——WPA3 ，進(jìn)而獲取網(wǎng)絡(luò)密碼。此次研究由西印度大學(xué)的Kyle Chadee、Wayne Goodridge和Koffka Khan開展，這一研究揭示了最新無線安全標(biāo)準(zhǔn)存在的安全漏洞。

WPA3于2018年推出，其目的是彌補(bǔ)前身WPA2的缺陷，為Wi - Fi網(wǎng)絡(luò)提供更強(qiáng)的安全性。其中，“對等同時(shí)認(rèn)證”（SAE）協(xié)議是其關(guān)鍵功能之一，該協(xié)議旨在讓密碼能夠抵御離線字典攻擊。研究人員證實(shí)，可利用WPA3過渡模式中的弱點(diǎn)來達(dá)成目的，這種過渡模式允許與WPA2設(shè)備向后兼容。

借助降級攻擊，他們能夠捕獲部分WPA3交互信息，再結(jié)合社會工程技術(shù)恢復(fù)網(wǎng)絡(luò)密碼。

這種攻擊方法主要包含三個(gè)步驟：

• 其一，運(yùn)用降級攻擊捕獲交互信息；
• 其二，將用戶從原始的WPA3網(wǎng)絡(luò)中解除認(rèn)證；
• 其三，創(chuàng)建帶有強(qiáng)制門戶的虛假賬號接入點(diǎn)以獲取密碼。

研究人員利用樹莓派模擬WPA3接入點(diǎn)，并借助Airgeddon等開源工具創(chuàng)建惡意接入點(diǎn)。當(dāng)不知情的用戶嘗試連接偽造網(wǎng)絡(luò)時(shí)，就會被提示輸入Wi - Fi密碼，隨后該密碼會與捕獲的交互信息進(jìn)行驗(yàn)證。

這項(xiàng)研究引發(fā)了對WPA3安全性的擔(dān)憂，特別是在其過渡模式下。研究發(fā)現(xiàn)，如果未實(shí)施保護(hù)管理，攻擊就會成功，而很多用戶可能并不清楚或者沒有啟用這一設(shè)置。有趣的是，研究人員還發(fā)現(xiàn)一些設(shè)備無法連接到WPA3網(wǎng)絡(luò)，這與Wi - Fi聯(lián)盟所說的與WPA2向后兼容的說法相互矛盾。

盡管這種攻擊需要特定條件并且要有用戶交互，但它展示了保護(hù)無線網(wǎng)絡(luò)面臨的持續(xù)挑戰(zhàn)。研究人員強(qiáng)調(diào)了用戶教育以及正確配置WPA3網(wǎng)絡(luò)以降低此類風(fēng)險(xiǎn)的重要性。

網(wǎng)絡(luò)安全專家呼吁進(jìn)一步調(diào)查WPA3的漏洞，并開發(fā)額外的保護(hù)措施。隨著Wi - Fi網(wǎng)絡(luò)不斷成為企業(yè)和個(gè)人的關(guān)鍵基礎(chǔ)設(shè)施，確保其安全性至關(guān)重要。

這項(xiàng)研究的結(jié)果提醒我們，即便最先進(jìn)的安全協(xié)議也可能受到技術(shù)漏洞與社會工程學(xué)巧妙組合的影響。隨著WPA3的普及，用戶和制造商都必須保持警惕，并實(shí)施最佳實(shí)踐，從而保護(hù)無線網(wǎng)絡(luò)免受潛在攻擊。

參考來源：https://cybersecuritynews.com/researchers-bypass-wpa3-password/#google_vignette