供应商修补可用于攻击家庭网络的 Wi-Fi 漏洞

一位安全研究人员发现了 802.11 wi-fi 标准中的 12 个漏洞，据说这些漏洞会以某种方式影响“每个 wi-fi 产品”，主要供应商开始发布固件更新。

这些缺陷都被分配了通用漏洞和暴露 (CVE) 标识符，发现它们的研究人员 Mathy Vanhoef 将它们归类为碎片和聚合攻击，或“FragAttacks”。

“在受害者无线电范围内的对手可以利用这些漏洞窃取用户信息或攻击设备，”范霍夫写道。

“实践中最大的风险可能是滥用发现的缺陷来攻击某人家庭网络中的设备。例如，许多智能家居和物联网设备很少更新，而 Wi-Fi 安全是最后一道防线。防止有人攻击这些设备的防御。

“不幸的是，由于发现漏洞，现在可以绕过这最后一道防线。 

“Wi-Fi 缺陷也可能被滥用来窃取传输的数据。”

Vanhoef 表示，发现的三个漏洞“是 Wi-Fi 标准中的设计缺陷，因此会影响大多数设备。”

“除此之外，还发现了其他几个由 wi-fi 产品中广泛的编程错误引起的漏洞，”他写道。

“实验表明，每个 wi-fi 产品都至少受到一个漏洞的影响，而大多数产品都受到多个漏洞的影响。”

Vanhoef 表示，Wi-Fi 的所有现代安全协议，“包括最新的 WPA3 规范…… [和] 甚至 Wi-Fi 的原始安全协议，称为 WEP，都会受到影响。” 

“这意味着自 1997 年发布以来，一些新发现的设计缺陷一直是 Wi-Fi 的一部分，”他写道。

“幸运的是，设计缺陷很难被滥用，因为这样做需要用户交互，或者只有在使用不常见的网络设置时才有可能。”

Vanhoef 之前负责发现Wi-Fi 网络 WPA2 安全协议中的 KRACK（或密钥重新安装攻击）缺陷，这导致了更安全的 Wi-Fi 协议的开发。

互联网安全促进行业联盟 (ICASI)表示，行业在过去九个月中与 Vanhoef 合作，以了解 FragAttacks 漏洞并协调响应。

包括 Cisco、HPE/Aruba、Juniper Networks、Microsoft 和 Sierra Wireless 在内的许多供应商已经开始为从接入点到 IP 电话的一系列支持 Wi-Fi 的设备发布固件更新。