WIFI 爆出重大安全漏洞,社交,支付时会被窃取隐私信息!

2017-10-17 14:31:44 +08:00
 monkeybrother

http://mp.weixin.qq.com/s/vziVpv6RM_-bpSdc93moiA

3055 次点击
所在节点    分享发现
16 条回复
iwtbauh
2017-10-17 15:25:44 +08:00
不怕,WiFi 那层就算被破解了,但上面还一层 TLS 呢。
viosey
2017-10-17 15:29:05 +08:00
HTTPS:哈?
vexe
2017-10-17 15:36:43 +08:00
我今天偷偷用支付宝的事情被女朋友知道了?
monkeybrother
2017-10-17 15:36:48 +08:00
@iwtbauh
@viosey

自己去看吧,这么重大的新闻都不知晓的吗?


在漏洞尚未修复之前,对于普通手机用户来说,使用支付宝、微信支付、网银的时候,建议大家还是尽量使用蜂窝移动网络,外出远行,提前办好流量套餐,有效避免黑客攻击。

对于漏洞的回应

事实上,周一时,美国国土安全局网络应急部门 US-CERT 确认了漏洞的存在,而早在 2 个月前,US-CERT 已经秘密通知相关的厂商和专家,告诉它们存在这样的漏洞。

针对 KRACK 漏洞,如今各大企业回应:

苹果 iOS 和 Mac:苹果证实安全漏洞将会在 iOS、macOS、watchOS、tvOS 的下一个软件更新的测试版本中得到解决,在未来几周内就会通过软件升级的形式提供给用户。
微软:微软于 10 月 10 日发布安全补丁,使用 Windows Update 的客户可以使用补丁,自动防卫。我们及时更新,保护客户,作为一个负责任的合作伙伴,我们没有披露信息,直到厂商开发并发布补丁。
谷歌移动 /谷歌 Chromecast/ Home/ WiFi:我们已经知道问题的存在,未来几周会给任何受影响的设备打上补丁。
谷歌 Chromebook:暂时没有发表评论。
亚马逊 Echo、FireTV 和 Kindle:我们的设备是否存在这样的漏洞?公司正在评估,如果有必要就会发布补丁。
三星移动、三星电视、三星家电:暂时没有发表评论。
思科:暂时没有发表评论。
Linksys/Belkin:Linksys/Belkin 和 Wemo 已经知道 WAP 漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。我们一直将客户放在第一位,会在安全咨询页面发布指导意见,告诉客户如何升级产品,如果需要就能升级。
Netgear:Netgear 已经为多款产品发布修复程序,正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。为了保护用户,Netgear 公开发布修复程序之后才披露漏洞的存在,没有提到漏洞的具体信息。一旦有了修复程序,Netgear 会通过“ Netgear 产品安全”页面披露漏洞。
Eero:我们已经知道 WAP2 安全协议存在 KRACK 漏洞。安全团队正在寻找解决方案,今天晚些时候就会公布更多信息。我们打造了云系统,针对此种情况可以发布远程更新程序,确保所有客户及时获得更新软件,自己不需要采取任何动作。
英特尔:英特尔正在与客户、设备制造商合作,通过固件和软件更新的方式应对漏洞。如果想获得更多信息,可以访问英特尔安全咨询页面。
Nest:我们已经知道漏洞的存在,未来几周将会为 Nest 产品推出补丁。
飞利浦 Hue:KRACK 攻击利用了 Wi-Fi 协议。我们建议客户使用安全 Wi-Fi 密码,在手机、计算机及其它 Wi-Fi 设备上安装最新补丁,防范此类攻击。飞利浦 Hue 本身并不直接支持 WiFi,因此不需要防范补丁。还有,我们的云帐户 API 可以用 HTTPS 进行保护,增强安全,这是一个额外的安全层,不会受到 KRACK 攻击的影响。

关于 KRACK 详细内容介绍和视频演示详见 krackattacks 官网
monkeybrother
2017-10-17 15:37:28 +08:00
@vexe 你女朋友厉害了,说你是不是买了女朋友
Tink
2017-10-17 15:38:14 +08:00
发之前都不搜索一下么
vexe
2017-10-17 15:39:05 +08:00
@monkeybrother #4
“我们的云帐户 API 可以用 HTTPS 进行保护,增强安全,这是一个额外的安全层,不会受到 KRACK 攻击的影响”
monkeybrother
2017-10-17 15:41:56 +08:00
@Tink 认真搜索翻译了之后才发的
Tink
2017-10-17 15:48:33 +08:00
yxwzaxns
2017-10-17 15:52:30 +08:00
你把事情想的过于严重了
GeruzoniAnsasu
2017-10-17 15:53:11 +08:00
这么重大的新闻你知道的算比较慢的而且也不很准确
本来 SSL 就是防 mitm 的,krack 官网放出的视频用 sslstrip 降级到 http 页面也不是什么新东西,浏览支付时确保访问的页面是 https 是不会有什么问题的
monkeybrother
2017-10-17 15:54:14 +08:00
@Tink 你厉害,服!
patx
2017-10-17 16:24:25 +08:00
重复帖子好多
imn1
2017-10-17 16:42:48 +08:00
时经帖
tony1016
2017-10-17 16:46:28 +08:00
@GeruzoniAnsasu 说起来并没有那么容易,你怎么确保能看到地址栏??估计又要推销一阵子 HSTS 了
churchmice
2017-10-17 22:08:14 +08:00
@monkeybrother 这这么牛逼那公司的有线局域网不是早翻天了?关键数据现在谁还用明文再传?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/398328

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX