WiFi曝重大安全漏洞：黑客能利用該漏洞監聽聯網設備

關注鈦媒體每日、每月整理髮布的行業壞消息榜，一榜略盡當日最具影響的壞消息。

北京時間10月17日上午消息，研究人員最近發現了一項漏洞，攻擊者可以藉此攔截Wi-Fi接入點與電腦或移動設備之間傳輸的敏感數據，甚至也包括加密數據。

這項漏洞名為KRACK，是「密鑰重裝攻擊」（Key Reinstallation Attack）的縮寫，攻擊者會重複使用客戶端設備加入Wi-Fi網路時提供的一次性密鑰，通過這種方法破解接入點與客戶端設備之間交換的信息。當一台設備加入一個受保護的Wi-Fi網路時，一個名為四向握手的流程便會發生。這種「握手」會確保客戶端與接入點都能擁有正確的登錄信息，並生成一個新的加密密鑰來保護網路流量。這個加密密鑰會在四向握手的第三步安裝，但如果接入點認為消息丟失，有時會重複發送相同的密鑰。范霍夫的研究發現，攻擊者其實可以迫使接入點安裝相同的加密密鑰，這樣一來，入侵者便可藉此攻擊加密協議，並破解數據。

這有可能導致信用卡、聊天信息和密碼泄露。該漏洞由比利時魯汶大學的馬西·范霍夫（Mathy Vanhoef）發現，他表示，在某些案例中，黑客可以利用KRACK漏洞向網站中植入勒索軟體。報告稱，WiFi安全漏洞源於安全標準本身，而非個體設備問題，但它會影響連接到WiFi網路的設備。Vanhoef稱，谷歌公司的安卓系統、蘋果公司的iOS系統以及微軟的Windows操作系統都有可能受到影響。

理論上說，任何連接到WiFi網路的設備都可能受到影響。但研究人員指出，這個安全漏洞對一個特定版本的Linux而言是「災難性的」，對於運行Android 6.0及更高版本的設備來說，也是「極具破壞性」的。根據谷歌的數據，有一半的安卓設備正在運行此版本。

《華爾街日報》報道稱，大型企業受此次漏洞的影響或將大於普通消費者。Vanhoef表示，目前不需要修改WiFi密碼，而是要確保對所有的終端設備和路由器的固件都進行更新。他還表示，人們應該繼續使用WPA2協議。微軟已經發布了安全更新來解決這一問題。Wi-Fi聯盟也表示，各大平台提供商已經開始部署相應的補丁。

今日壞消息榜單 NO.2-NO.7

Adobe Flash被爆出漏洞，黑客可向計算機植入惡意程序

北京時間10月17日下午消息，Adobe公司發布警告稱，有黑客正在利用該公司Flash產品的漏洞，向用戶的計算機植入惡意程序。Adobe公司推薦用戶儘快打好Flash的最新補丁，以避免類似事情的發生。Abode公司表示他們已經發布了修復這個問題的補丁。據悉，受該漏洞影響的瀏覽器包括谷歌Chrome、微軟Edge和IE瀏覽器等。今年7月Adobe公司宣布Flash將會在2020年「壽終正寢」。該技術此前一直被多方唱衰，包括蘋果公司前CEO喬布斯等。喬布斯一直呼籲用HTML5等技術替代老舊的Flash。此前谷歌的數據顯示，2014年Adobe Flash在電腦端瀏覽器中的用戶日使用率為80%，而到了幾年7月，這一數字下降到了17%。

微軟被指掩蓋資料庫被黑事件，Windows漏洞或泄露

據路透社北京時間10月17日報道，5位微軟公司前員工稱，四年多前，微軟用於追蹤自主軟體漏洞的秘密內部資料庫被一個技術高超的黑客組織入侵。這次入侵發生在已知的第二起此類企業資料庫被黑事件中。微軟在2013年發現了這一資料庫被黑客入侵，但是隨後並未向公眾或其客戶披露被攻擊的嚴重程度。不過，5位微軟前員工在分別接受採訪時向路透社描述了這一事件。微軟拒絕討論這一事件。這一秘密資料庫包含了微軟對於部分在全球廣泛使用軟體的未修復高危漏洞，包括Windows系統。全球各國政府的間諜和其他黑客之所以覬覦這些信息，是因為這些信息能向他們展示如何為實現電子化入侵開發工具。

澳媒：澳洲郵局網站遭遇故障，包裹服務陷入混亂

澳洲新聞網於當地時間17日發表文章指出，從10月16日(本文均為當地時間)起，澳洲郵局的運輸及網上查詢服務遭遇故障，包裹郵寄等服務陷入一片混亂。據悉，這項網路故障導致零售商Ben Porter無法完成62筆訂單。這位網路袖扣商店Cuffed的創始人表示，16日，他花費幾個小時登錄澳洲郵局的系統。「我一直收到錯誤的信息，我很不希望讓消費者失望，有些消費者是支付了快遞錢的，現在他們收不到貨物。」

百度被指用WiFi產品黃金眼收用戶隱私，回應稱系誹謗

10月17日上午消息，百度今早通過@百度推廣 微博發布聲明，回應早前一天虎嗅網披露百度利用公共WiFi產品「百度黃金眼」收集用戶隱私報道。百度表示，該文章屬不實信息，系對百度的誹謗與造謠，已致使百度公司名譽受損。百度將追究造謠傳謠者的刑事責任。百度方面對此回應表示，「百度黃金眼」是百度2014年推出的大數據營銷效果評估工具，主要根據無線區域網信號估算到場客流狀況和營銷效果，幫助商家了解用戶群體畫像。由於業務調整原因，2016年該產品已全面退出醫療服務領域。

二維碼專利惹爭端：銀河聯動二度控騰訊阿里侵權

10月17日消息（林想）銀河聯動信息技術（北京）公司宣布，入稟北京知識產權法院，控告騰訊財付通及阿里巴巴支付寶的二維碼掃碼支付，侵犯其採集和分析多欄位二維碼的系統和方法之專利權。銀河聯動表示，有關專利是該公司與中國移動通信集團控股子公司─卓望信息技術（北京）共同擁有。此次訴訟以中國的兩大移動支付平台為主要訴訟對象，直指其掃碼支付這一核心業務。涉嫌侵權的支付二維碼包括網路遊戲支付、網路電商支付、網路付費閱讀、線下商家支付等，這些支付都是通過掃描支付二維碼完成。據統計，2016年中國移動支付市場規模為38萬億元，其中大量支付是通過掃描二維碼完成的。因此，預計該訴訟將會對中國移動支付市場發展產生重要影響。

VirnetX起訴蘋果專利侵權勝訴，獲賠4.4億美元

北京時間10月17日早間消息，一年前，蘋果在與VirnetX的專利權訴訟中敗訴。VirnetX今天公布了蘋果應當支付的賠償總額。這些專利關於FaceTime和其他應用的安全通訊協議。美國德州東部地方法院近期完成了對本案的聽證，否決了蘋果的所有動議，並支持了VirnetX的動議。根據VirnetX公布的數據，法庭判決蘋果應當賠償的總金額為4.397億美元，較此前披露的數字高約1.4億美元。這其中包括去年陪審團裁定的3.024億美元、4130萬美元的額外故意侵權賠償（每台設備的專利授權費從去年的1.20美元上調至1.80美元），以及9600萬美元的利息、成本和律師費用。蘋果發言人表示，計劃對這一最終判決提出上訴。（ 叢笑/ 鈦媒實習編輯）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！