据说WPA2漏洞会影响到50%安卓设备，你慌吗

2017年10月16日比利时研究人员Mathy Vanhoef公布了一篇关于WPA/WPA2协议安全问题新论文，该论文提出了一种新的攻击方法：KRACK攻击（Key Reinstallation Attacks），这种攻击方法尤其针对WPA2。

WPA(WiFi Protected Access)协议是设计来保证无线传输安全的加密协议。 WPA2使用4次握手来进行身份认证和会话密钥协商，随后使用加密协议（AES，CCMP等）来对无线数据报文进行加密。WPA2协议自从2003年以来都被认为安全的，但是长久以来研究人员一直在保护协议本身的安全性却忽略的4次握手的漏洞。

攻击概述

终端请求与WPA2加密的AP关联的过程中将进行4次握手来协商会话密钥。终端在收到消息3时将安装该密钥。密钥安装完毕后终端将使用这个密钥去加密此后产生的数据报文。最后终端回复ACK确认密钥安装完成。

但是，AP在无法及时收到消息4的情况下一般会重传消息3。终端每收到一个重传的消息3都会去重新安装这个握手包里面的密钥，同时重置自增型的包序号（transmit packet number,这是一个很重要的随机数）和重传计数器。这两个参数是加密协议需要使用到的。研究人员发现，攻击者可以通过收集和重传消息3来迫使用户重装密钥。在部分终端（主要是Linux-Based 设备）中重装密钥意味着重用一个随机数，因此加密协议会因为终端的这种行为变得很脆弱，所有的数据包可能被重放、解密、甚至是被篡改。

主要受影响的设备

目前受影响面最大的设备类型为Linux-Based设备，因为此类型设备大多使用wpa_supplicant作为无线管理和控制软件。

wpa_supplicant在Linux中被普遍作为WiFi客户端使用，尤其是wpa_supplicant 2.4和2.5。安装过这两个版本的客户端在遭受攻击时会安装一个全为0的初始向量而并非重新安装真实的密钥。因此攻击者能够迫使用户的随机数变成0从而导致同的加密密钥和已经使用到的随机数一起被使用。这可能导致wpa2的使用加密协议在加密报文的时候都复用同一个已经使用过的密钥序列。假设一条使用这种复用的密钥序列的明文是已知的，那么这个秘钥序列是可以计算出来的。攻击者就可以用这个已经使用过的密钥序列再配上一个相同的随机数Nonce 来解密相应的数据包。

这个缺陷源于802.11标准建议当会话密钥被安装后需要将内存中的已经保留好的会话密钥给清空。因为安卓系统使用了修改后的wpa_supplicant ，安卓6.0 也会受这个攻击的影响。据估计，目前大约有31.2%的安卓设备都会受到该攻击的影响。

其他类型的终端设备

wpa_supplicant虽然支持Windows平台，但绝大多数读者使用的都是Windows自带的无线网络管理程序（或者Intel芯片相关软件提供的无线网络管理程序）。

大部分非Linux-Based设备都没有全零加密密钥的漏洞，虽然受影响面比较小，但攻击者仍然有能力解密一部分数据包（明文传输或者弱加密的数据报文）。

结论

本次攻击虽然暴露出WPA2的安全问题，但并不能完全否定WPA2，事实上会话密钥依然是安全的，也就是攻击者没有途径可以获取到无线密码，同时也就是说AP和客户端的身份认证功能也是安全的。攻击者实际上在握手过程中是无法冒充终端端或者AP。

而且目前已知的涉及到个人敏感信息的应用程序在进行数据传输的过程中都会对应用数据进行非对称加密，所以即使能截获到传输的数据报文，攻击者也是没有能力去进行报文解密的。

对我司的影响

用户的应对措施