潛藏20多年的漏洞!WiFi遭爆有資安疑慮 歷代設備皆有風險 - 匯流新聞網

DIGITAL

潛藏20多年的漏洞!WiFi遭爆有資安疑慮 歷代設備皆有風險
  • 字級
潛藏20多年的漏洞!WiFi遭爆有資安疑慮 歷代設備皆有風險

匯流新聞網記者王佐銘/綜合報導

隨著全球進入網際網路時代,人們的生活變得越來越方便,民眾除了使用行動網路之餘,大部分在室內空間都會使用WiFi。不過近日國外就有資安研究員發現WiFi中有漏洞,而且竟然潛藏了20年還沒有被人發現,可能導致所有支援網路的設備都可能受害,所以呼籲用戶應該要立即更新電腦系統。

綜合外媒報導,比利時一名資安人員Mathy Vanhoef近日表示,他發現了WiFi中有個安全漏洞,是1997年初代WiFi誕生時就有的,由於至今已經有20多年之久都沒被人發現,所以全球所有 WiFi 設備恐怕都難以倖免。

據了解,這項安全漏洞被命名為「FragAttacks」,只要裝置連接WiFi,有心人士就可以利用該漏洞去操控家中的智慧家電。除此之外,也包括用戶帳號、密碼,或者更多的隱私資料都可以被竊取,綜計共有12種不童的進攻方式。

不過有幸的是,這個漏洞必須要雙方在同一個WiFi網路下以及少見的網路設定,駭客才有得手機會。對此,WiFi聯盟則說,目前還沒有漏洞備用在惡意攻擊上。據悉,目前多家企業,如三星、微軟、英特爾等都已經替旗下產品釋出安全補丁,而Mathy Vanhoef也呼籲民眾要趕快進行更新,這樣才能確保個人資料安全。

除了WiFi有漏洞,今年初行動網路資安業者AdaptiveMobile Security踢爆一個存在手機簡訊及SIM卡中的安全漏洞,並命名這樣的安全漏洞及攻擊行動為「Simjacker」,不僅能讓駭客監控使用者的位置,還能執行更有破壞性的行動。
Simjacker的攻擊主要是藉由傳送一個有特定程式碼的簡訊到受害裝置上而開始,它可以入侵手機內的SIM卡,進而執行惡意指令。AdaptiveMobile Security表示,攻擊簡訊有一系列的SIM Toolkit(STK)指令,能觸及手機上所安裝的SIM卡,只要SIM卡接受簡訊,就會將S@T Browser函式庫當作SIM卡的執行環境,藉此觸發手機邏輯。

相信大家都知道,SIM卡是電信營運商用來辨別用戶方案與服務的晶片,能夠用來存放使用者通訊錄,或是確保可靠的語音、資料或漫遊等服務,也可以從遠端增加新應用或服務,這些功能都歸功於內建在SIM卡中的STK應用程式工具包,其中之一的S@T Browser,最初設計是用來取得SIM卡餘額。STK其他功能還包含播放聲音、收發簡訊、撥打電話、提供裝置資訊、執行命令、啟動瀏覽器、傳輸資料等。

AdaptiveMobile Security指出,Simjacker攻擊是基於在系統允許特定的簡訊訊息,以及S@T Browser軟體的漏洞。觀察中發現,駭客目前的攻擊目的在於取得裝置位置及IMEI資訊,且論是傳送簡訊到攻擊目標,或是再藉由攻擊目標把位置及裝置資訊傳送到駭客指定的號碼中,在手機簡訊收發匣上,都不會出現相關紀錄,這代表即使你受害了,也全然不知。

另外,根據AdaptiveMobile Security的分析,Simjacker攻擊一間私人企業跟各國政府合作,針對特定目標展開監控,光是在單一國家,每天可能就多達100至150個人對象被鎖定,甚至一天被鎖定的攻擊對象高達300人。還有少數有價值的號碼,短短七天就被攻擊上百次,資安業者分析可能是有政府在某個時間點急著想追蹤這些人的蹤跡。

事實上,S@T Browser已經是非常老舊的技術,打從2009年後就沒再更新過,甚至漸漸被其它技術所取代,但AdaptiveMobile發現,大概還有30個國家的電信營運商還在使用這項技術,代表有超過10億人口會有Simjacker攻擊的風險。

不過,AdaptiveMobile沒有公布該私人企業的名稱或執行監控的國家,只表示遭到攻擊且成功被取得位置資訊的手機,幾乎囊括所有的品牌,從蘋果、中興、摩托羅拉、三星、Google、華為,一直到可安裝SIM卡的IoT裝置。

《更多CNEWS匯流新聞網報導》

全台「隱富」數再破紀錄 冠德信義「隱」字訣為頂級豪宅定錨

公園首席未來商場為鄰  三重最強小宅橫掃雙北

【文章轉載請註明出處】


R18