iPhone Android都中招!手機WiFi零件現保安漏洞 即睇邊部機出事

撰文:區慶威
出版:更新:

iPhone、Android 手機的 Wi-Fi 零件爆保安危機,一個名為 Kr00k 的安全漏洞,出現在由 Broadcom 及 Cypress 生產的 Wi-Fi 晶片當中,令駭客可以破解 WPA-2 的 Wi-Fi 加密。根據資訊安全機構 ESET 估計,受影響的裝置隨時上億計。

iPhone、Android 及多種不同平台裝置由於 Broadcom 及 Cypress 生產的 Wi-Fi 晶片而出現的安全漏洞,是由資訊安全機構ESET的研究員率先發現,並將有關漏洞命名為 Kr00k。根據 ESET 估計,全球上億使用上述廠商 Wi-Fi 晶片的裝置,都有機會因為這個漏洞,讓駭客可以破解 WPA-2 級別的加密。

iPhone、Android 及多種不同平台裝置,因為使用 Broadcom及 Cypress 的 Wi-Fi 零件而出現保安漏洞。(Tyler Lastovich @unsplash)

用簡單一點的方法去解釋,Kr00k 漏洞(CVE-2019-15126)是因為 Wi-Fi 晶片將本來應該加密傳送的部份用戶資料,以「全零」作為加密金鑰,令到入侵者可以成功截取經 WPA-2 加密的封包。受影響的 Apple 產品,包括以下的 iOS、iPadOS 及 macOS 裝置:

↓↓↓↓ Apple 裝置受 Kr00k 影響名單 ↓↓↓↓

+1

除了 Apple 之外,現時已知括 Amazon、Google、Raspberry、Samsung 及小米的手機,以及由 ASUS 及華為生產的 Wi-Fi 路由器,同樣受到 Kr00k 漏洞的影響,名單如下:

Amazon Echo 2nd gen
Amazon Kindle 8th gen
Google Nexus 5
Google Nexus 6
Google Nexus 6S
Raspberry Pi3
Samsung Galaxy S4(GT-I9505)
Samsung Galaxy S8
紅米 3S

ASUS RT-N12 路由器
華為 B6125-25d 路由器
華為 EchoLife HG8245H 路由器
華為 E5577Cs-321 路由器

其實 Kr00k 漏洞已經存在一段時間,ESET 不過在到日前才於舉行的 RSA 資訊安全峰會中發布。Apple 在回覆資訊安全新聞網站ArsTechnica的查詢,表示已經在上年10 月分別為 iOS、iPadOS 及 macOS 裝置提供有關漏洞的安全更新。而 Amazon 亦表示已經為受影響裝置提供安全更新。

不過,ESET 表示未能夠測試所有市場上使用 Broadcom 及 Cypress 晶片的裝置,意味著可能有更多產品受有關漏洞影響。用戶的對應方法,就是在廠商推出更新的時候,儘快為產品進行更新。