关于krack，wpa2 wi-fi漏洞需要了解的一切

更新：谷歌发表的声明The Verge表示，虽然每个支持Wi-Fi的设备都会受到影响，但使用Marshmallow（Android 6.0）或更高版本的Android手机会带来特殊风险，并且容易受到可以操纵流量的漏洞利用变种的攻击。旧固件上的型号在其他方面很容易受到影响，但是流量注入是一个严重的问题。预计在不久的将来会得到谷歌的修复。

Vanhoef在达拉斯的计算机和通信安全ACM会议上发言时解释说，这种攻击可能允许数据包嗅探，连接劫持，恶意软件注入，甚至解密协议本身。该漏洞已经向需要及早了解这些事情以便找到修复程序的人员披露，US-CERT（美国计算机应急准备团队）已经发布了这个准备好的公告：

US-CERT已经意识到Wi-Fi保护访问II（WPA2）安全协议的4次握手中的几个关键管理漏洞。利用这些漏洞的影响包括解密，数据包重放，TCP连接劫持，HTTP内容注入等。请注意，作为协议级问题，标准的大多数或所有正确实现都将受到影响。 CERT / CC和报告研究员KU Leuven将于2017年10月16日公开披露这些漏洞。

据一位了解漏洞情况的研究人员称，它的工作原理是利用四方握手，用于建立加密流量的密钥。在第三步中，密钥可以重复多次。当以某种方式重新发送时，加密的nonce可以以完全破坏加密的方式重用。

我该如何保持安全？

说实话，在接下来的几天里，你可以找到很多公共选择。我们不会告诉你它是如何工作的，或者在哪里可以找到有关攻击工作原理的更多信息。但我们可以告诉你，你可以（并且应该做到）尽可能保持安全。

不惜一切代价避免使用公共Wi-Fi。这包括谷歌受保护的Wi-Fi热点，直到谷歌另有说法。如果您的运营商在范围内强制您的手机使用Wi-Fi，请访问手机论坛，看看是否有解决方法可以阻止手机发生。
仅连接到安全服务。使用HTTPS或其他安全连接的网页将在URL中包含HTTPS。您应该联系您使用其服务的任何公司，并询问是否使用TLS 1.2保护连接，如果是，那么您与该服务的连接现在是安全的。
如果您有一个您信任的付费VPN服务，则应该全时启用该连接，直到另行通知为止。抵制任何免费VPN服务的抢购和注册的诱惑，直到您发现他们是否经过审查并确保您的数据安全。大多数人没有。
如果路由器和计算机都有插入以太网电缆的地方，请使用有线网络。此漏洞仅影响Wi-Fi路由器和连接设备之间的802.11流量。以太网电缆相对便宜，穿过地毯的眼睛是值得的。寻找Cat6或Cat5e规格电缆，一旦插入就不需要配置。
如果您使用的是Chromebook或MacBook，则此USB以太网适配器即插即用。
放松。

如果我在受攻击的网络上会发生什么？

此黑客无法窃取您的银行信息或Google密码（或使用端到端加密的正确安全连接上的任何数据）。虽然入侵者可能能够捕获您发送和接收的数据，但任何人都无法使用甚至阅读。除非您允许手机或计算机首先对其进行解密和解密，否则您甚至无法阅读它。

攻击者可能能够执行诸如重定向Wi-Fi网络上的流量或甚至发送伪造数据来代替真实内容的事情。这意味着在网络打印机上打印数千份乱码或者像发送恶意软件作为对合法信息请求或文件的回复一样危险的东西是无害的。保护自己的最佳方法是在完成指导之前不要使用Wi-Fi。

嗯，这是坏的呀pic.twitter.com/iJdsvP08D7
- ⚡️OwenWilliams（@ow）2017年10月16日

在运行Android 6.0 Marshmallow及更新版本的手机上，KRACK漏洞可能会迫使Wi-Fi连接在00：00：00：00：00创建一个荒谬易破解的加密密钥。通过这么简单的操作，外人可以轻松读取来自客户端的所有流量，如智能手机或笔记本电脑。

但是，如果使用安全的HTTPS和TLS协议对此流量进行编码（并且大多数网络流量应该是这些天），则它们包含的数据是端到端加密的，即使被截获也不会被读取。

您的路由器是否已修补以修复KRACK漏洞？

据说Ubiquiti已经准备好为他们的设备部署一个补丁，如果事实证明这是真的，我们应该很快就会看到像Google或Apple这样的公司。其他安全意识较低的公司可能需要更长时间，许多路由器永远不会看到补丁。一些制造路由器的公司很像制造Android手机的公司：当你的钱到达他们的银行时，任何支持该产品的愿望都会停止。