研究人員在WPA3協議中發現的一系列漏洞可能允許攻擊者獲取Wi-Fi網絡的密碼。

新版本的WiFi安全協議WPA3于2018年6月正式推出，旨在提供更好的保護，防止脫機字典攻擊和密碼猜測嘗試，即使使用不太復雜的密碼也能提高安全性，并提前保密即使密碼已被泄露，也可以保護通信。

[[262196]]

WPA3也有漏洞了!

WPA3將提供個人和企業版本，將逐步取代WPA2，但它可能需要幾年時間才能被廣泛采用。與此同時，WPA2將繼續得到維護和改進。

紐約大學阿布扎比分校的Mathy Vanhoef和特拉維夫大學的Eyal Ronen以及KU Leuven分析了WPA3，特別是其平等同步認證(SAE)握手，通常稱為Dragonfly。值得注意的是，Vanhoef是發現WPA2漏洞的研究人員之一，稱為KRACK(密鑰重新安裝攻擊)。

Vanhoef和Ronen對WPA3的分析導致發現了兩種類型的漏洞，稱為Dragonblood，可用于恢復Wi-Fi網絡的密碼：允許降級攻擊的漏洞和可能導致旁道漏洞的漏洞。他們還發現了一個漏洞，可以利用這個漏洞在繞過WPA3中的DoS保護機制后在接入點(AP)上導致拒絕服務(DoS)條件。

據專家介紹，這些密碼分區攻擊可以使用價值125美元的Amazon EC2計算能力執行8個字符的小寫密碼。CVE標識符CVE-2019-9494已分配給側通道缺陷。

Vanhoef和Ronen表示，位于目標Wi-Fi網絡范圍內的攻擊者可以獲取密碼并獲取敏感信息，例如密碼，電子郵件，支付卡號碼以及通過即時消息應用程序發送的數據。

【Wi-Fi聯盟是一個非營利組織，其全球成員網絡維護著Wi-Fi技術，他表示這些漏洞只會影響“WPA3-Personal早期實施的數量有限”，并且沒有證據表明它們已經被開發用于惡意目的。“WPA3-Personal處于部署的早期階段，受影響的少數設備制造商已經開始部署補丁來解決問題。這些問題都可以通過軟件更新得到緩解，而不會對設備能夠很好地協同工作產生任何影響，“該組織表示。】