安卓模拟器使用vpn吗
10月16日,雷锋网曾报道,用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议,应该已经被破解了!利用这些漏洞的影响包括解密、数据包重播、TCP 连接劫持、HTTP内容注入等。意思就是,
漏洞名叫“KRACK”,也就是“Key Reinstallation Attack”(密钥重安装攻击),它曝露了 WPA2 的一个基本漏洞,WPA2是一个通用协议,大多现代无线网络都用到了该协议。攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量中。
攻击者通过漏洞可以获得一个万能密钥,不需要密码就可以访问任何 WAP2 网络。一旦拿到密钥,就可以窃听网络信息。
“KRACK”的发现者——比利时天主教鲁汶大学的一位安全专家Mathy Vanhoef 在他的报告中这样强调:
要发起一次成功的攻击行为,黑客要诱使用户重置在用的安全秘钥,这个过程需要不停地重复截获加密的4次握手信息。当用户重置秘钥时,相关的参数例如增量传输数据包的数量(Nonce),还有接收数据包数量(重放计数器)都会被重置为初始值。出于安全考虑,秘钥通常都是一次性的,但在WPA2协议中却并不是如此定义的。因此只要利用好WPA2网络连接过程中的 4 次加密握手过程安卓模拟器使用vpn吗,就可以完全绕过用户设置的无线密码。
这里有一张美国cert 发布的受影响厂商列表(文中只列举了目前确定受影响的厂商和确定未受影响影响的厂商,其他厂商目前是否受影响情况未知,详情可以查阅:)
在漏洞爆出后,微软发言人表示,包括Windows10、Windows10 Mobile在内的Windows支持用户已经在10月10日的周日补丁更新日获得了修复性更新,开启自动更新效果更佳。
超过 40%的安卓设备被报告受到了本次 Wi-Fi 漏洞的影响,但谷歌将在下个月为 Pixel 推送安全更新。
一位专注安卓和iOS 研究的安全研究员 S 对雷锋网强调,安卓6.0及其以上的系统都受影响,补丁要到11月6日google才放出,所以在这段时间内,对使用安卓手机的用户来说是灾难。
“现在安卓用户也没太好的办法补救,都是些缓解措施,比如使用 VPN。因为这个攻击方法相当于强制重置你的信任热点连接,不太好防御。用 wep又容易被破解。”S 说。
S表示,现阶段唯一办法还是使用 VPN 或有 https 加密通信的 App 防止中间人劫持。
但是,在截止发稿前,雷锋网突然得到一个消息人士 W 发过来的关键内部消息:各合作厂商在10月16日已经拿到谷歌发过来的补丁,oem厂商可以自行补,就看谁家升级快了,但是谷歌官方肯定是11月6日发布补丁,因为谷歌有固定的发布安全补丁的周期。
据 iMore报道,苹果已经在最新的测试版系统当中修复了这个严重的漏洞,该漏洞将在最新的iOS11.1 Beta3系统、watchOS 4.1和tvOS 11.1开发者测试版当中被修复。
S补充认为,苹果只有group key受影响。这一点在发现者的早期论文中也有体现。(附该论文下载链接:ccs2017.pdf)
Linksys/Belkin和 Wemo 已经知道 WAP 漏洞的存在。安全团队正在核查细节信息,会根据情况提供指导意义。
事实上,利用这种漏洞进行的攻击本质还是中间人劫持攻击,只是更高端,以前是被动劫持,现在是强制劫持。S认为,这种攻击和利用伪基站一样,攻击者需要在你附近,在补丁出来之前攻击还不会泛滥产业化,应该不会攻击普通民众。
所以,一定要看这一点——因为这次的攻击行为不是远程发起的,需要黑客在目标无线网络范围内才能进行。还有一个理由:这个攻击还没公布攻击代码,按照以前的攻击规律,要过很长时间这个漏洞才会被用于现实攻击。
在这段时间内,除了坐等厂商修复,S称,还有一个办法:用支持国标的 WAPI 路由器。“但是据说超贵。”S说。到底有多贵?雷锋网给你一张截图感受一下:
另外,其实还有一个非常简单的应对策略:用有线网络和包流量的时刻到了,毕竟现在 4G 网速也杠杠的。
除了介绍了该漏洞的详细机制以及攻击视频演示,还有几点线 依然是目前最安全的无线安全机制,本次漏洞可以通过“补丁”的方式修补掉,并且客户端或无线路由器(AP)任何一方打上补丁,这个漏洞就相当于补上了。暂时还没有需要 WPA3 的紧迫性。
5. WEP 早就被证明不安全了,即使这次公布的漏洞是针对WPA/WPA2的,也不应该把你的路由器设置为使用WEP。