今年央視315晚會(huì)上曝光的WiFi探針收集用戶信息的熱度還未消退，阿里安全專家研究發(fā)現(xiàn)了WiFi的重大新問題：基于WPA/WPA2設(shè)計(jì)上存在的一些缺陷，用戶在使用公共WiFi時(shí)，攻擊者可以透過這一缺陷，精確地攻擊某個(gè)WiFi網(wǎng)絡(luò)中的某一個(gè)或某幾個(gè)用戶，導(dǎo)致用戶在瀏覽網(wǎng)頁時(shí)遭到釣魚，進(jìn)而造成信息泄露或經(jīng)濟(jì)損失。

3月22日，阿里安全獵戶座實(shí)驗(yàn)室資深安全專家侯客、高級(jí)安全工程師青惟在加拿大溫哥華舉辦的世界頂級(jí)信息安全峰會(huì)CanSecWest2019上披露了這一研究成果。在演講中，他們表示，保護(hù)WiFi安全需要行業(yè)各界共同努力，應(yīng)加速推行能解決這一缺陷的新標(biāo)準(zhǔn)落地。

圖說：侯客（左）、青惟（右）在發(fā)表演講。

侯客介紹，WPA全稱為WiFi Protected Access，有WPA、WPA2兩個(gè)標(biāo)準(zhǔn)，是一種保護(hù)無線網(wǎng)絡(luò)WiFi存取安全的技術(shù)標(biāo)準(zhǔn)。目前，WPA2是使用最廣泛的安全標(biāo)準(zhǔn)，不過自2004年推出以來，已陸續(xù)有研究人員指出其存在的缺陷可導(dǎo)致WiFi不安全。

阿里安全的工程師們最新研究發(fā)現(xiàn)，攻擊者可以被動(dòng)的監(jiān)聽用戶與WiFi接入點(diǎn)的通信，在適合的時(shí)機(jī)發(fā)送偽造的數(shù)據(jù)或者劫持用戶與WiFi接入點(diǎn)的連接，篡改正常的通信內(nèi)容，導(dǎo)致用戶訪問交互的數(shù)據(jù)中途被篡改。

通俗的說，當(dāng)用戶在家里、酒店、餐廳、商場等一些場所，用共享密碼的WiFi，使用一些網(wǎng)絡(luò)應(yīng)用時(shí)，比如用手機(jī)或電腦瀏覽網(wǎng)頁，攻擊者透過WPA/WPA2的缺陷，可以引導(dǎo)用戶到假的網(wǎng)站，甚至篡改用戶正在訪問網(wǎng)站的內(nèi)容。

相比央視315晚會(huì)曝光的WiFi探針，僅是收集用戶信息，進(jìn)而通過其他關(guān)聯(lián)信息給用戶畫像，而阿里安全工程師發(fā)現(xiàn)的這一風(fēng)險(xiǎn)，一旦讓攻擊者得逞，其后果更為嚴(yán)重。“在這種攻擊下，用戶上網(wǎng)的質(zhì)量不但會(huì)受到影響，訪問虛假的網(wǎng)站被釣魚后，用戶的賬號(hào)密碼也有被竊取的風(fēng)險(xiǎn)，進(jìn)而遭受經(jīng)濟(jì)損失?！?/span>

針對(duì)這一風(fēng)險(xiǎn)，侯客在演講中建議，用戶在公共場所盡量避免使用公共WiFi，盡量使用移動(dòng)網(wǎng)絡(luò)上網(wǎng)。他還呼吁，保護(hù)WiFi安全需要行業(yè)各界共同努力，去年6月已推出新標(biāo)準(zhǔn)WPA3協(xié)議，應(yīng)加速推行這一新標(biāo)準(zhǔn)的普及落地，替代WPA2，保護(hù)用戶安全。

據(jù)公開報(bào)道顯示，近年來已有數(shù)十位阿里安全工程師登上安全領(lǐng)域的國際頂級(jí)會(huì)議發(fā)表演講，與國際上知名的安全領(lǐng)域?qū)＜姨接?、共建網(wǎng)絡(luò)安全。