近日，有研究人員發(fā)現(xiàn)兩大WiFi安全漏洞，很可能會(huì)影響到全球數(shù)十億安卓用戶。

第一個(gè)安全漏洞可能影響到 "wpa_supplica nt"，它是無線網(wǎng)絡(luò)（如 WPA（WiFi 保護(hù)訪問））安全機(jī)制的開源軟件實(shí)現(xiàn)。黑客可利用該漏洞創(chuàng)建一個(gè)克隆版WiFi熱點(diǎn)并截取用戶數(shù)據(jù)。有安全研究員證實(shí)，使用 WPA2/3 企業(yè)模式的 WiFi 網(wǎng)絡(luò)存在風(fēng)險(xiǎn)。甚至可以說，全球有 23 億安卓用戶都可能受到這個(gè)漏洞的影響。值得一提的是，這種開源實(shí)現(xiàn)幾乎存在于 Chromebook 中使用的所有 Linux 設(shè)備和 ChromeOS 中。

黑客利用 wpa_supplicant 漏洞誘騙受害者自動(dòng)連接到惡意克隆的可信 WiFi 網(wǎng)絡(luò)，從而攔截他們的流量。由于這種攻擊不需要受害者采取任何行動(dòng)，受害者很可能不知道自己已經(jīng)成為攻擊目標(biāo)。而黑客所需要的只是企業(yè) WPA2/3 網(wǎng)絡(luò)的名稱（SSID），這對(duì)于他們來說非常容易，只要在建筑物周圍走動(dòng)并掃描一下就能輕易獲得。

同時(shí)，該漏洞還很可能會(huì)影響 PEAP（受保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議）的實(shí)施， PEAP 是一種用于更好地保護(hù) WiFi 網(wǎng)絡(luò)安全的安全協(xié)議。當(dāng)目標(biāo)設(shè)備沒有正確配置驗(yàn)證服務(wù)器時(shí)，攻擊者可以跳過驗(yàn)證的第二階段。

此外，安全研究人員還發(fā)現(xiàn)了另一個(gè)漏洞。該漏洞影響到英特爾的 iNet Wireless Daemon（IWD）平臺(tái)，這是一個(gè)針對(duì) Linux 的綜合連接解決方案，也是開源的，主要用于家庭 WiFi 網(wǎng)絡(luò)。

研究人員警告稱：該漏洞可能會(huì)影響到將 IWD 用作接入點(diǎn)的人們，因?yàn)樵撀┒床⒉灰蕾囉谌魏五e(cuò)誤配置。它允許對(duì)手完全訪問現(xiàn)有受保護(hù)的 WiFi 網(wǎng)絡(luò)，使現(xiàn)有用戶和設(shè)備面臨攻擊。

可能涉及到的風(fēng)險(xiǎn)包括敏感數(shù)據(jù)被截獲、感染惡意軟件或勒索軟件、電子郵件泄露、憑證被盜等。目前這兩個(gè)漏洞均已上報(bào)給供應(yīng)商，并已得到修補(bǔ)，作為其公共代碼庫的一部分。

同時(shí)，安全人員提醒用戶應(yīng)立即更新其軟件，安卓用戶需下載包含 wpa_supplicant 補(bǔ)丁的新安卓安全更新包。在未更新前，安卓用戶應(yīng)手動(dòng)配置所有已保存的企業(yè)網(wǎng)絡(luò)的 CA 證書以防止遭遇網(wǎng)絡(luò)攻擊。