美國電腦緊急應變小組(US-CERT)周三(12/28)警告,用來簡化無線家用網路設定並保障安全的Wi-Fi Protected Setup(WPS)標準含有安全漏洞,使駭客更易利用暴力(Brute-force)攻擊來破解PIN碼;該漏洞將讓駭客取得路由器的PIN碼、改變路由器的設定或是造成阻斷式服務。
WPS為Wi-Fi聯盟在2007年發表的標準,此一標準的目的在於讓一般的使用者輕易就可設定無線網路,例如自動配置新的無線網路或新增網路內的裝置等,它含有一個只需要輸入路由器PIN碼的認證方法,全球已有超過200種產品通過該標準的認證,不過,研究人員Stefan Viehbock發現該方法的設計將允許駭客更易透過暴力攻擊來破解PIN碼。
所謂的暴力攻擊指的是,駭客會測試所有可能的密碼組合以找到正確的密碼。然而,在WPS中,當駭客輸入錯誤的PIN碼時,該機制會回傳一個EAP-NACK訊息,使得駭客得以判斷PIN碼的前半段是否正確,由於PIN碼的最後一碼屬於已知的檢查碼,因而大幅降低了駭客嘗試破解PIN碼的次數。這代表找出8個字元的PIN碼原本需要嘗試10^8次,但現在只要10^4 + 10^3次。
US-CERT說明,有許多無線路由器並未採取任何防止暴力攻擊的措施,而且暴力攻擊也會使路由器重新啟動,而形成阻斷式服務的狀態。目前該問題並無任何切實可行的解決方案,但使用者可暫時關閉WPS。
幾乎所有路由器品牌都受到此一漏洞的影響,涵蓋Belkin、Buffalo、D-Link、Linksys、Technicolor、TP-Link、Netgear與ZyXEL等。(編譯/陳曉莉)
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-03
