Wi-Fi AP因WPA2協定漏洞暴露資安風險,NCC今(18)日提醒,使用者單純變更密碼仍無法防範,惟有更新Wi-Fi設備的修補程式才可杜絕KRACKs(Key Reinstallation Attacks)攻擊。
美國國土安全部之電腦緊急應變中心(CERT)於16日提出警告,全球數十億Wi-Fi 裝置,採用之WPA2(Wi-Fi Protected Access II)加密方式有重大資安漏洞,可能使原本透過加密Wi-Fi傳輸的資料遭駭客竊取。
NCC表示,我國行動寬頻網路日益普及,各公私場域也陸續積極提供Wi-Fi網路服務,NCC已要求相關業者對其設置於公眾場域或其提供用戶使用之Wi-Fi AP,應儘速更新其軟體,並呼籲Wi-Fi設備製造商也應儘速提供更新軟體,提供消費者對自行裝設之Wi-Fi AP下載更新,以降低資安風險並保障消費者權益NCC強調,基礎網路建設及利用基礎網路之網際網路傳輸,原本就具有潛在各種可能之資安風險,因此,資安防護意識是所有設備製造商、服務提供者、以及使用者都需要具備的基本概念,更應建構資安防護之機制來降低資安風險,時時檢視與更新。
據報導,WPA2漏洞係由比利時魯汶大學(KU Leuven)之研究員發現,消息曝光前已經先保密數週,讓各家設備廠商有充分時間可以進行修補。另依據美國國土安全部CERT所列出的名單,上百家受影響廠商已經在8月底至10月中陸續接獲通知。
目前蘋果表示相關漏洞已在稍早的macOS與iOS更新中修復;微軟的更新亦已於本月10日釋出;Google Pixel將可於11月6日後更新;其他Android 裝置則可能還需等上數週。
NCC說明,資安公司賽門鐵克指出,截至10月17日為止尚未發現駭客利用此漏洞進行攻擊;由於寬頻社會之骨幹網路係由電信業者積極建設,Wi-Fi網路服務由各應用場域之主政機關或民間組織等自行規劃,亦即,NCC督導或協調各電信業者佈建高速寬頻網路,提供各主政機關或民間組織或營業場所租用,以提升公共與創新服務之便利性,強化數位創新基礎環境。
因此,NCC基於保障使用者權益,已要求業者就其所設置於公眾場域或其提供用戶使用之Wi-Fi AP,應儘速說明其更新軟體之時程;並將函請Wi-Fi設備製造商也應儘速提供更新軟體,以提供消費者對自行裝設之Wi-Fi AP下載更新。Wi-Fi設備製造商一旦有相關Wi-Fi AP軟體更新資訊,NCC亦將公告於本會網站供民眾查詢。
此外,就此漏洞風險,NCC建議各界具體因應措施如下:
一、使用者使用無線網路上網時,需有資安風險及資安防護意識。
二、使用者應盡量瀏覽HTTPS網站。
三、使用者在使用Wi-Fi環境下,儘量避免傳送個人機敏資料。
四、使用者連網終端設備之作業系統,應儘速更新至最新版本。
五、Wi-Fi AP製造商提供軟體更新後,使用者對自行裝設之Wi-Fi AP,應儘速更至最新版本。
六、Wi-Fi AP未修補其漏洞前,使用者應盡量使用4G行動寬頻網路上網。
所謂KRACKs攻擊係指駭客利用WPA2 協定之四向交握(four-way handshake)過程產生之弱點,於存在漏洞的Wi-Fi無線網路範圍內發動攻擊,可攔截或竊取經由Wi-Fi傳輸之資料。在特定情況下,駭客甚至可以竄改、偽造傳輸之資料。
國際Wi-Fi聯盟(Wi-Fi Alliance)已確認KRACKs攻擊的可行性,並表示該漏洞可透過軟體更新來解決,且廠商已經加速準備推出軟體更新。另外亦有專家表示,透過WPA2的傳輸資料雖然可能外洩,且一般使用者很少會對 Wi-Fi AP進行更新,但因為多數網站都有其他安全協定及加密措施(如HTTPS),且連網終端設備之作業系統也會採取對應之更新措施,皆有利降低連網之資安風險。
(工商)
from 《中時電子報》科技 http://ift.tt/2x4D8EK
沒有留言:
張貼留言