能讓攻擊者解密他周圍空中傳輸的敏感數據。
由賽普拉斯半導體和博通製造的 Wi-Fi 芯片存在嚴重安全漏洞,讓全球數十億臺設備非常容易受到黑客的攻擊,能讓攻擊者解密他周圍空中傳輸的敏感數據。
在今天開幕的 RSA 安全會議中,這項安全漏洞被公開。而對於 Apple 用戶而言,該問題已在去年 10 月下旬發佈的 iOS 13.2 和 macOS 10.15.1 更新中得到了解決。
安全公司 ESET 在 RSA 會議上詳細介紹了這個漏洞,黑客可以利用稱為 Kr00k 的漏洞來中斷和解密 Wi-Fi 網絡流量。該漏洞存在於賽普拉斯和博通的 Wi-Fi 芯片中,而這是擁有全球市場份額較高的兩大品牌,從筆記本電腦到智能手機、從 AP 到物聯網設備中都有廣泛使用。
其中亞馬遜的 Echo 和 Kindle、蘋果的 iPhone 和 iPad、谷歌的 Pixel、三星的 Galaxy 系列、樹莓派、小米、華碩、華為等品牌產品中都有使用。保守估計全球有十億臺設備受到該漏洞影響。
黑客利用該漏洞成功入侵之後,能夠截取和分析設備發送的無線網絡數據包。Ars Technica 表示:
Kr00k 利用了無線設備從無線接入點斷開關聯時出現的漏洞。如果終端用戶設備或 AP 熱點遭到攻擊,它將把所有未發送的數據幀放入發送緩衝區,然後再無線發送它們。易受攻擊的設備不是使用先前協商並在正常連接期間使用的會話密鑰來加密此數據,而是使用由全零組成的密鑰,此舉使解密變得不太可能。
一件好事是,Kr00k 錯誤僅影響使用 WPA2-個人或 WPA2-企業安全協議和 AES-CCMP 加密的 Wi-Fi 連接。 這意味著,如果使用賽普拉斯半導體和博通 Wi-Fi 芯片組設備,則可以防止黑客使用最新的 Wi-Fi 驗證協議 WPA3 進行攻擊。
據發佈有關該漏洞的詳細信息的 ESET 稱,該漏洞已與潛在受影響的各方一起公開給了賽普拉斯半導體和博通。目前,大多數主要製造商的設備補丁已發佈。
更多資訊
iOS 13 全系越獄發佈:iPhone 6s 到 iPhone 11 皆支持
前不久,Pwn20wnd 團隊發佈 unc0ver v4.0.0,實現對 A12~A13 處理器 iOS 13 設備的越獄支持,換言之,iPhone XS 系列、iPhone XR、iPhone 11 系列、現款 iPad Pro/iPad Air/iPad mini 均“解鎖金身”。
來源:快科技詳情鏈接: https://www.dbsec.cn/blog/news.html
HackerOne 報告:2019 年有 7 位道德黑客賞金收入超 100 萬美元
黑客活動變得更加頻繁,但從某種角度來說這並不是一件壞事。漏洞懸賞平臺 HackerOne 近日發佈了道德黑客狀況年度報告,表示在 2020 年該組織已擁有 60 萬名白帽黑客,成員規模是去年的兩倍。而且在過去的 12 個月中這些白帽黑客賺取的賞金突破了4000萬美元。
來源:快科技詳情鏈接: https://www.dbsec.cn/blog/news.html
美國警方曝多起遭勒索軟件攻擊失去證據事件 致六名毒犯獲自由
檢察官被迫放棄對六名毒犯的 11 項毒品案件指控,由於佛羅里達警方受到勒索軟件攻擊,關鍵證據丟失。該起攻擊發生在 2019 年 4 月,事後警方只從備份文件中恢復了一部分數據,其他一些數據無法恢復,其中就有這 11 項毒品案件的數據,主要有照片和視頻數據。主辦案件的警探表示,這 11 項指控包括擁有冰毒、可卡因,生產、銷售和分發毒品等等。
來源:cnBeta.COM詳情鏈接: https://www.dbsec.cn/blog/news.html
數據洩露暴露了面部識別公司 Clearview AI 客戶列表
一家面部識別創業公司,早些時候被揭露為美國數百家執法機構所使用,卻遭受了數據洩露。Clearview AI 的律師 Tor Ekeland 的一份聲明說,安全是公司的重中之重。正如 The Daily Beast 最初報道的那樣,訪問的數據包括Clearview的客戶列表,每個客戶擁有的帳戶數量以及這些客戶進行的搜索次數。
來源:ZDNet詳情鏈接: https://www.dbsec.cn/blog/news.html
(信息來源於網絡,安華金和蒐集整理)
閱讀更多 Linux中國 的文章
