你是说我的安全毯不安全?在得知WPA3协议中发现了可以让对手获取Wi-Fi密码并访问目标网络的漏洞之后，Ars Technica咯咯叫起来。

　　“不幸的是，”两位研究人员说，我们发现，即使使用WPA3，在受害者范围内的攻击者仍然可以恢复网络的密码。这允许对手窃取敏感信息，如信用卡、密码、电子邮件等，而受害者不使用额外的保护层，如HT TPS。”

　　WPA3于2018年登场，由Wi-Fi联盟发布，旨在保护Wi-Fi网络免受入侵者入侵。它漏了什么雄性?Dark Reading提到了“握手过程中的缺陷”，这可能会带来“对作为网络凭证一部分使用的密码的低成本攻击。”

　　低价攻击?这是什么意思?Ars Technica的Dan Goodin写道，WPA3的设计缺陷引起了关于无线安全的问题，“特别是在低成本的互联网设备中。”

　　该攻击涉及一个进程，允许遗留的WPA2设备附加到WPA3启用的访问点;由此产生的操作打开该进程，“对用于身份验证的密码进行暴力字典攻击”，Dark Reading说。

　　关于影响，这有多重要?《黑暗阅读》引述Wi-Fi联盟营销副总裁凯文·鲁滨逊的话说。并非所有的WPA3个人设备都受到影响，即使是“少量设备”也可以通过软件更新进行修补。

　　该登录过程存在可能使WPA3不安全的漏洞。具体来说，Dark Reading报告了“Equals(SAE)握手的同步身份验证的侧通道漏洞问题”。后者被进一步描述为“WPA3比WPA2改进的一个关键部分”。

　　由于SAE握手被称为蜻蜓;研究人员称这组漏洞为龙血。

　　发现这一缺陷的两个人是纽约大学阿布扎比的Mathy Vanhoef和特拉维夫大学的Eyal Ronen和KULeuven。

　　(ZDNet的CatalinCimpanu解释说，在一次侧通道信息泄漏攻击中，“WiFiWPA3-能力网络可以欺骗设备使用较弱的算法，泄漏少量关于网络密码的信息。经过反复的攻击，最终可以恢复完整的密码。

　　这一发现并不令丹·古丁感到震惊。他写道：“目前的WPA2版(自21世纪中期开始使用)遭遇了一个已知十多年的严重设计缺陷。

　　他说，四方握手是一个密码过程，用来验证计算机，电话和平板电脑到一个接入点，反之亦然-并包含一个散列的网络密码。“连接网络的设备范围内的任何人都可以记录下这次握手。短密码或者那些不是随机的密码在几秒钟内就会被破解。”

　　幸运的是，他们在博客上写道，我们期望我们的工作和与Wi-Fi联盟的协调将允许供应商在WPA3普及之前减轻我们的攻击。”

　　4月10日，Wi-Fi联盟发布了一份声明，说明他们所称的”WPA3-Personal早期实现的数量有限，这些设备允许在运行攻击者软件的设备上收集侧通道信息，不正确地执行某些密码操作，或使用不合适的密码元素。

　　他们说，受影响的少数设备制造商“已经开始部署补丁来解决这些问题”。这些问题都可以通过软件更新来缓解，而不会对设备协同工作的能力产生任何影响。没有证据表明这些脆弱性被利用了”。

　　Wi-Fi联盟感谢Vanhoef和Ronen这两位研究人员发现并“负责任地报告这些问题，让业界在广泛的行业部署WPA3-Personal之前主动准备更新。”

　　责任编辑:张华