WiFi爆漏洞駭客可截密碼私隱
圖:估計全港約有19,000個公用WiFi熱點,當中約610個屬“香港政府WiFi通”無線上網服務,分佈體育館、圖書館等地
不少人會在食肆或政府提供的免費WiFi熱點上網,處理日常事務。有報導指美國國土安全局轄下的電腦緊急應變小組日前發出警告,稱全球廣泛使用的WiFi無線網路加密技術WPA2(WiFi Protected Access II)存有保安漏洞,駭客可透過漏洞,從WiFi數據傳輸中截取使用者密碼、信用卡、電郵及其他本應加密的資訊,引起社會關注,香港電腦保安事故協調中心,未有收到相關事故報告;有學者表示,WPA2屬WiFi標準下其中一個制式,即使有漏洞,但要盜取非常困難,籲市民不用太驚慌。
該WiFi漏洞名為“密鑰重新安裝攻擊”(Key Reinstallation AttaCKs,簡稱KRACK),由比利時勒芬大學的專家Mathy Vanhoef發現,指出WPA2加密技術發現有幾個保安脆弱性問題,稱不法之徒可能在同一WiFi範圍下,透過KRACK的攻擊,截取用戶的密碼、信用卡、電郵及其他本應加密的資訊,或者在用戶流覽的網站內加入惡意軟體。
其中,KRACK不會盜取用戶的WiFi密碼,主要針對WPA2協議的“四次握手”加密過程,強制將用家裝置的密碼設置全部為零,令到所有經WiFi傳輸的資料變得“不設防”,任由駭客讀取。由於其攻擊必須在同一WiFi範圍下進行,故意味家庭WiFi用戶受影響的機會較少,相反政府或大企業等的公用WiFi風險甚高。
全港WiFi熱點近兩萬
香港是著名有很多WiFi熱點的城市,行政長官林鄭月娥最近發表的施政報告,亦表明重點發展“智慧城市”,相信日後免費WiFi覆蓋點更多。目前全港私人及政府提供的WiFi熱點超過19000個,截至去年12月,政府已在約610個場地推出“香港政府WiFi通”無線上網計畫,包括圖書館和體育館等。WiFi WPA2加密被KRACK攻擊破解,令人關注在以上地點使用公用WiFi會否存在資料被駭客盜用危機。
香港專業教育學院(柴灣)資訊科技系系主任梁秉雄指,市民不用過分擔心,“能夠用KRACK攻擊截取別人資料好難好難,我諗香港百萬中無一人做得到。”他指,WiFi是一個技術標準(IEEE802.11),而WPA2是該標準下其中一個軟體與制式。他以電動車比喻,稱WPA2只是車的其中一個部件,即使出了問題,也不會影響車輛的整體操作。梁又指軟體沒有完美,正因如此,廠商需不斷改良及更新軟體,最有效的預防方法是每一至兩個月更新軟體,並選購合適的防毒軟體。
籲用戶安裝修補程式
香港電腦保安事故協調中心指,至今未接獲相關事故報告,中心亦已就事件發出保安公告,說明攻擊者可將無線連接內的數碼解密,甚至進行資料篡改,若成功攻擊,攻擊者需處於和WiFi連接點及目標裝置相同的無線傳輸範圍內。
中心又呼籲用戶應替智能電話、手提電腦、無線路由器等無線裝置安裝修補程式;另外,亦可使用SSL/TLS加密敏感資料,有需要時用VPN方案作資料傳輸,以及切勿使用公共WiFi處理敏感資料等。
負責全港所有“香港政府WiFi通”服務的政府資訊科技總監辦公室(資科辦)發言人稱,留意到有關保安漏洞,並已透過香港電腦保安事故協調中心向公眾發佈相關建議。同時,資科辦亦要求“香港政府WiFi通”承辦商安排測試相關修補程式,並儘快進行系統更新。