新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
安卓、Linux和ChromeOS设备的开源Wi-Fi软件存在两个身份验证绕过漏洞。安全漏洞可能导致用户连接到恶意“克隆”网络,允许攻击者在没有密码的情况下加入可信网络。已发布更新公告修复漏洞,但Android修复程序尚未发布。为保护安全,Android用户应手动配置已保存的企业网络CA证书。
🎯
关键要点
- 安卓、Linux和ChromeOS设备的开源Wi-Fi软件存在两个身份验证绕过漏洞。
- 安全漏洞可能导致用户连接到恶意“克隆”网络,攻击者可以在没有密码的情况下加入可信网络。
- 漏洞分别被追踪为CVE-2023-52160和CVE-2023-52161,影响wpa_supplicant和英特尔的IWD。
- CVE-2023-52161允许攻击者未经授权访问受保护的Wi-Fi网络,可能导致恶意软件感染和数据盗窃。
- CVE-2023-52160影响安卓设备的默认无线网络登录软件,特别是未正确配置身份验证服务器证书的客户端。
- 成功利用CVE-2023-52160需要攻击者掌握受害者先前连接的Wi-Fi网络的SSID,并保持适当的物理距离。
- 主要Linux发行版和ChromeOS已发布更新修复漏洞,但Android的修复程序尚未发布。
- Android用户应手动配置已保存的企业网络CA证书以保护安全。
➡️
