研究人員成功結(jié)合中間人攻擊(MITM)和社會工程學(xué)技術(shù),繞過了Wi - Fi保護(hù)協(xié)議——WPA3 ,進(jìn)而獲取網(wǎng)絡(luò)密碼。此次研究由西印度大學(xué)的Kyle Chadee、Wayne Goodridge和Koffka Khan開展,這一研究揭示了最新無線安全標(biāo)準(zhǔn)存在的安全漏洞。
WPA3于2018年推出,其目的是彌補(bǔ)前身WPA2的缺陷,為Wi - Fi網(wǎng)絡(luò)提供更強(qiáng)的安全性。其中,“對等同時(shí)認(rèn)證”(SAE)協(xié)議是其關(guān)鍵功能之一,該協(xié)議旨在讓密碼能夠抵御離線字典攻擊。研究人員證實(shí),可利用WPA3過渡模式中的弱點(diǎn)來達(dá)成目的,這種過渡模式允許與WPA2設(shè)備向后兼容。
借助降級攻擊,他們能夠捕獲部分WPA3交互信息,再結(jié)合社會工程技術(shù)恢復(fù)網(wǎng)絡(luò)密碼。
這種攻擊方法主要包含三個步驟:
- 其一,運(yùn)用降級攻擊捕獲交互信息;
- 其二,將用戶從原始的WPA3網(wǎng)絡(luò)中解除認(rèn)證;
- 其三,創(chuàng)建帶有強(qiáng)制門戶的虛假賬號接入點(diǎn)以獲取密碼。
研究人員利用樹莓派模擬WPA3接入點(diǎn),并借助Airgeddon等開源工具創(chuàng)建惡意接入點(diǎn)。當(dāng)不知情的用戶嘗試連接偽造網(wǎng)絡(luò)時(shí),就會被提示輸入Wi - Fi密碼,隨后該密碼會與捕獲的交互信息進(jìn)行驗(yàn)證。
這項(xiàng)研究引發(fā)了對WPA3安全性的擔(dān)憂,特別是在其過渡模式下。研究發(fā)現(xiàn),如果未實(shí)施保護(hù)管理,攻擊就會成功,而很多用戶可能并不清楚或者沒有啟用這一設(shè)置。有趣的是,研究人員還發(fā)現(xiàn)一些設(shè)備無法連接到WPA3網(wǎng)絡(luò),這與Wi - Fi聯(lián)盟所說的與WPA2向后兼容的說法相互矛盾。
盡管這種攻擊需要特定條件并且要有用戶交互,但它展示了保護(hù)無線網(wǎng)絡(luò)面臨的持續(xù)挑戰(zhàn)。研究人員強(qiáng)調(diào)了用戶教育以及正確配置WPA3網(wǎng)絡(luò)以降低此類風(fēng)險(xiǎn)的重要性。
網(wǎng)絡(luò)安全專家呼吁進(jìn)一步調(diào)查WPA3的漏洞,并開發(fā)額外的保護(hù)措施。隨著Wi - Fi網(wǎng)絡(luò)不斷成為企業(yè)和個人的關(guān)鍵基礎(chǔ)設(shè)施,確保其安全性至關(guān)重要。
這項(xiàng)研究的結(jié)果提醒我們,即便最先進(jìn)的安全協(xié)議也可能受到技術(shù)漏洞與社會工程學(xué)巧妙組合的影響。隨著WPA3的普及,用戶和制造商都必須保持警惕,并實(shí)施最佳實(shí)踐,從而保護(hù)無線網(wǎng)絡(luò)免受潛在攻擊。
參考來源:https://cybersecuritynews.com/researchers-bypass-wpa3-password/#google_vignette