V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
monkeybrother
V2EX  ›  分享发现

WIFI 爆出重大安全漏洞,社交,支付时会被窃取隐私信息!

  •  
  •   monkeybrother · 2017-10-17 14:31:44 +08:00 · 3035 次点击
    这是一个创建于 2594 天前的主题,其中的信息可能已经有所发展或是发生改变。
    16 条回复    2017-10-17 22:08:14 +08:00
    iwtbauh
        1
    iwtbauh  
       2017-10-17 15:25:44 +08:00 via Android
    不怕,WiFi 那层就算被破解了,但上面还一层 TLS 呢。
    viosey
        2
    viosey  
       2017-10-17 15:29:05 +08:00 via Android   ❤️ 1
    HTTPS:哈?
    vexe
        3
    vexe  
       2017-10-17 15:36:43 +08:00
    我今天偷偷用支付宝的事情被女朋友知道了?
    monkeybrother
        4
    monkeybrother  
    OP
       2017-10-17 15:36:48 +08:00
    @iwtbauh
    @viosey

    自己去看吧,这么重大的新闻都不知晓的吗?


    在漏洞尚未修复之前,对于普通手机用户来说,使用支付宝、微信支付、网银的时候,建议大家还是尽量使用蜂窝移动网络,外出远行,提前办好流量套餐,有效避免黑客攻击。

    对于漏洞的回应

    事实上,周一时,美国国土安全局网络应急部门 US-CERT 确认了漏洞的存在,而早在 2 个月前,US-CERT 已经秘密通知相关的厂商和专家,告诉它们存在这样的漏洞。

    针对 KRACK 漏洞,如今各大企业回应:

    苹果 iOS 和 Mac:苹果证实安全漏洞将会在 iOS、macOS、watchOS、tvOS 的下一个软件更新的测试版本中得到解决,在未来几周内就会通过软件升级的形式提供给用户。
    微软:微软于 10 月 10 日发布安全补丁,使用 Windows Update 的客户可以使用补丁,自动防卫。我们及时更新,保护客户,作为一个负责任的合作伙伴,我们没有披露信息,直到厂商开发并发布补丁。
    谷歌移动 /谷歌 Chromecast/ Home/ WiFi:我们已经知道问题的存在,未来几周会给任何受影响的设备打上补丁。
    谷歌 Chromebook:暂时没有发表评论。
    亚马逊 Echo、FireTV 和 Kindle:我们的设备是否存在这样的漏洞?公司正在评估,如果有必要就会发布补丁。
    三星移动、三星电视、三星家电:暂时没有发表评论。
    思科:暂时没有发表评论。
    Linksys/Belkin:Linksys/Belkin 和 Wemo 已经知道 WAP 漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。我们一直将客户放在第一位,会在安全咨询页面发布指导意见,告诉客户如何升级产品,如果需要就能升级。
    Netgear:Netgear 已经为多款产品发布修复程序,正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。为了保护用户,Netgear 公开发布修复程序之后才披露漏洞的存在,没有提到漏洞的具体信息。一旦有了修复程序,Netgear 会通过“ Netgear 产品安全”页面披露漏洞。
    Eero:我们已经知道 WAP2 安全协议存在 KRACK 漏洞。安全团队正在寻找解决方案,今天晚些时候就会公布更多信息。我们打造了云系统,针对此种情况可以发布远程更新程序,确保所有客户及时获得更新软件,自己不需要采取任何动作。
    英特尔:英特尔正在与客户、设备制造商合作,通过固件和软件更新的方式应对漏洞。如果想获得更多信息,可以访问英特尔安全咨询页面。
    Nest:我们已经知道漏洞的存在,未来几周将会为 Nest 产品推出补丁。
    飞利浦 Hue:KRACK 攻击利用了 Wi-Fi 协议。我们建议客户使用安全 Wi-Fi 密码,在手机、计算机及其它 Wi-Fi 设备上安装最新补丁,防范此类攻击。飞利浦 Hue 本身并不直接支持 WiFi,因此不需要防范补丁。还有,我们的云帐户 API 可以用 HTTPS 进行保护,增强安全,这是一个额外的安全层,不会受到 KRACK 攻击的影响。

    关于 KRACK 详细内容介绍和视频演示详见 krackattacks 官网
    monkeybrother
        5
    monkeybrother  
    OP
       2017-10-17 15:37:28 +08:00
    @vexe 你女朋友厉害了,说你是不是买了女朋友
    Tink
        6
    Tink  
       2017-10-17 15:38:14 +08:00
    发之前都不搜索一下么
    vexe
        7
    vexe  
       2017-10-17 15:39:05 +08:00
    @monkeybrother #4
    “我们的云帐户 API 可以用 HTTPS 进行保护,增强安全,这是一个额外的安全层,不会受到 KRACK 攻击的影响”
    monkeybrother
        8
    monkeybrother  
    OP
       2017-10-17 15:41:56 +08:00
    @Tink 认真搜索翻译了之后才发的
    yxwzaxns
        10
    yxwzaxns  
       2017-10-17 15:52:30 +08:00 via iPhone   ❤️ 1
    你把事情想的过于严重了
    GeruzoniAnsasu
        11
    GeruzoniAnsasu  
       2017-10-17 15:53:11 +08:00
    这么重大的新闻你知道的算比较慢的而且也不很准确
    本来 SSL 就是防 mitm 的,krack 官网放出的视频用 sslstrip 降级到 http 页面也不是什么新东西,浏览支付时确保访问的页面是 https 是不会有什么问题的
    monkeybrother
        12
    monkeybrother  
    OP
       2017-10-17 15:54:14 +08:00
    @Tink 你厉害,服!
    patx
        13
    patx  
       2017-10-17 16:24:25 +08:00 via Android
    重复帖子好多
    imn1
        14
    imn1  
       2017-10-17 16:42:48 +08:00
    时经帖
    tony1016
        15
    tony1016  
       2017-10-17 16:46:28 +08:00
    @GeruzoniAnsasu 说起来并没有那么容易,你怎么确保能看到地址栏??估计又要推销一阵子 HSTS 了
    churchmice
        16
    churchmice  
       2017-10-17 22:08:14 +08:00 via Android
    @monkeybrother 这这么牛逼那公司的有线局域网不是早翻天了?关键数据现在谁还用明文再传?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1897 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 00:36 · PVG 08:36 · LAX 16:36 · JFK 19:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.