示意圖,與新聞事件無關。

比利時研究人員揭露Wi-Fi主流的加密機制WPA2漏洞,駭客在Wi-Fi範圍內可對無線上網用戶發動攻擊竊取加密資料,在國內擁有超過400萬寬頻上網用戶、逾5萬個公共無線網路熱點的中華電信尚未修補漏洞下,恐讓數百萬用戶Wi-Fi上網曝露在攻擊的風險之下。

根據中華電信的財報資料,截至7月底為止,中華電信Hinet旗下有353萬光世代用戶,加上80多萬ADSL上網用戶,寬頻網路用戶共計超過430萬,中華電信為服務寬頻用戶,在用戶家中安裝俗稱小烏龜的數據機,新款數據機附帶Wi-Fi分享功能,用戶啟用該功能就能在家中使用無線上網,不需另外購買無線分享器。

此外,中華電信也提供公共無線上網服務CHT Wi-Fi,包括在戶外以中華電信的公共電話線路架設AP提供無線網路服務,以及與超商、連鎖速食店、連鎖咖啡店業者聯手,提供室內無線上網服務,總計全臺擁有超過5萬個Wi-Fi熱點AP。

這些AP若使用WPA2加密機制,不論用戶在家中無線上網,或是在戶外、咖啡店使用無線上網,駭客在Wi-Fi服務範圍內,可透過鎖定WPA2漏洞的KRACKs攻擊,取得原本受WPA2加密保護的資料。

對此,中華電信發言人沈馥馥表示,目前已收到漏洞的資訊,對於修補漏洞目前仍在和廠商瞭解中,還沒有更新的資訊。

中華電信補充說明不論是中華電信為iTaiwan建置的服務,或是中華電信自己的CHT Wi-Fi服務,均非使用WPA2加密,而是以HTTPS網頁登入認證,不受WPA2漏洞影響。至於寬頻用戶家中的數據機,已和網通設備商聯繫,設備商回應沒有安全疑慮,但這幾天還會蒐集相關漏洞資訊,再與設備商作進一步確認。此次漏洞所帶來的風險,用戶端也應密切注意終端裝置業者釋出更新儘快升級。

中華電信也已發出資安通報,提醒用戶可能的自保之道,儘量減少使用Wi-Fi無線上網,特別是在公共場所使用Wi-Fi服務,降低被駭的機會,可能的話以有線網路替代,若要使用無線上網,應避免以HTTP連線傳輸敏感的個人資料,儘量使用HTTPS傳送。

如果用戶以手機開啟Wi-Fi分享功能,中華也建議儘量不要設定可能洩露身份的SSID名稱,降低被鎖定攻擊的風險。

另外,由於各家業者正著手修補漏洞,除了網路服務商更新外,用戶也要密切注意各業者的裝置更新訊息,儘快更新韌體或軟體。雖然WPA2加密機制漏洞揭露後可能讓用戶曝露在攻擊風險,但由於Wi-Fi為無線區域網路,駭客必需可存取Wi-Fi服務才有攻擊的可能,中華電信建議民眾不要過度恐慌。

雖然駭客必需在Wi-Fi無線網路範圍內才可能發動攻擊,看似對公共場使用Wi-Fi的用戶威脅較大,但民眾在家中使用Wi-Fi無線上網也不可輕忽危險性,駭客不需要進入民眾家中,只要在目標對象居住地點的路邊可接收Wi-Fi服務的地方就能實施攻擊,民眾在家中無線上網可能在不知不覺中被竊取了機敏的個人資料。

同樣在國內提供FET Wi-Fi公共付費無線網路服務的遠傳電信表示,在10月15日得知WPA2漏洞消息後,已和設備商協商解決之法,設備商已在10月16日釋出新韌體,目前遠傳於門市及全虹門市,以及全家、萊爾富等便利商店合計共有7000至8000個AP,將儘快完成韌體更新。但不只是營運商設備需要修補,消費者的上網裝置也需儘快升級更新。

台灣大方面則至截稿前尚未回應。

在WPA2加密機制漏引發外界關注後,NCC周三發出聲明,將督促網路營運商對其在公共場所或提供用戶使用的Wi-Fi AP儘速說明更新軟體時程,網路設備商儘快釋出更新。

NCC也建議民眾使用Wi-Fi無線上網應有基本安全意識,避免在Wi-Fi連線下傳送機密的個人資料,儘量瀏覽HTTPS連線網站,業者釋出修補漏洞的更新後,民眾自行安裝的上網設備如Wi-Fi AP或終端設備手機、平板或電腦都應儘速更新。而在漏洞修補更新釋出之前,可多使用4G行動上網替代。


Advertisement

更多 iThome相關內容