内容简介:所有Wi-Fi路由器都容易受到正如副教授Zhiyun Qian和来自UCR的博士生Weiteng Chen所发现的那样,该漏洞利用了TCP和Wi-Fi之间的相互作用,这使得骗子可以窃取登录凭证,以及注入篡改数据。目前没有明显的解决方案,因为它基于Wi-Fi和TCP协议用于交换信息的机制。
所有Wi-Fi路由器都容易受到 Off-Path TCP Exploit (路径外TCP漏洞)的攻击,这种攻击允许攻击者在所有主要操作系统(Windows,macOS和Linux)的最新版本上使用Web缓存中毒来窃取通过无线连接通过HTTP传输的数据。
正如副教授Zhiyun Qian和来自UCR的博士生Weiteng Chen所发现的那样,该漏洞利用了TCP和Wi-Fi之间的相互作用,这使得骗子可以窃取登录凭证,以及注入篡改数据。
目前没有明显的解决方案,因为它基于Wi-Fi和TCP协议用于交换信息的机制。
要利用此漏洞,攻击者可以拦截您的路由器和计算机之间的通信,并发送恶意负载,当它到达您的Web浏览器时,它看起来就像真实的一样。
当受害者进入由攻击者恶意制作的网站页面时,该漏洞利用有效,并且如果有足够的时间(最多一到两分钟),骗子可以猜测从您的PC发送的TCP数据包的序列号并注入他们的副本您尝试访问的登录或结帐页面。
此网络缓存中毒攻击还将确保每次您尝试从同一网站登录或结帐时,您将使用威胁主播发送到您的浏览器的恶意制作版本来访问它。
Wi-Fi路由器漏洞也可以远程利用
此外,该漏洞可以被远程利用,旨在窃取您的信息的恶意网页版本将在您的计算机上,直到您清除浏览器的缓存。
根据Qian和Chen的说法,这个漏洞唯一可能的缓解措施是构建使用不同频率传输数据的新型无线路由器。
此外,在研究人员与决定无线技术发展的委员会进行的讨论中,他们发现具有新Wi-Fi频率的新技术至少还需要五年时间。
目前,当您通过Wi-Fi连接浏览互联网时,唯一可以确保数据安全的方法是仅使用内置HTTPS或HSTS加密的网站,或仅通过以太网连接。
尽管上述措施在理论上能够在网络上传输时保护您的敏感数据,但您还需要始终保持加密连接。
但是,这并不总是会发生,特别是在仅使用SSL证书加密登录或结帐页面的网站上,访问者必须输入登录或信用卡数据。
相关PDF文档可以到 Linux 公社资源站下载:
------------------------------------------分割线------------------------------------------
免费下载地址在 http://linux.linuxidc.com/
用户名与密码都是 www.linuxidc.com
具体下载目录在/2018年资料/9月/23日/Off-Path TCP Exploit允许攻击者通过未加密的连接窃取数据/
下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm
------------------------------------------分割线------------------------------------------
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/154303.htm
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 攻击者如何借助授权插件,实现macOS持久化凭据窃取
- 破坏攻击者利用域凭据
- 攻击者发现绕过系统安全新方法:无文件攻击快速增长
- Linux.org 被黑,攻击者留下“菊花”警告
- 何止伪装 全链路骗局让攻击者“两行泪”
- 企业如何采取欺骗行为来超越网络攻击者
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。