博通WiFi芯片漏洞致数十亿设备受影响，部分iPhone可遭网络窃听

不过，苹果的iOS13系统已经修复了该漏洞。

策划&撰写：巫盼

据外媒报道，赛普拉斯半导体（Cypress Semiconductor）和博通制造的WiFi芯片存在漏洞，正在使数十亿台设备容易受到攻击，包括苹果、谷歌和三星的某些产品，该漏洞可以让附近的攻击者对设备发送的敏感数据进行解密。

在最新召开的RSA Conference 2020大会上，研究人员详细披露了该WiFi芯片漏洞KrØØk，它利用了设备从无线接入点断开关联时出现的“弱点”：如果用户设备或访问点受到攻击，设备会把所有未发送的数据帧放入发送缓冲区，然后通过无线网络发送它们。也就是说，易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密数据，而是使用由全零组成的密钥，这样使解密变得非常简单。

如此一来，黑客就可以解密易受攻击的设备发送的一些无线网络数据包。

博通和赛普拉斯的芯片被用于许多支持WiFi的设备，例如智能手机、笔记本电脑、物联网产品、WiFi接入点和路由器。

庆幸的是，去年就发现安全漏洞的研究人员即时向博通和赛普拉斯披露了问题，从而让厂商及时采取行动，大多数主要制造商的设备补丁已发布。

举个例子，受影响的苹果设备包括：iPad mini 2，iPhone 6、6S、8、XR和MacBook Air 2018。苹果发言人表示，他们已于去年10月的系统更新中（尤其是是iOS 13.2和macOS 10.15.1）修复了这些漏洞。

据报告，除苹果之外，亚马逊（Echo，Kindle）、谷歌（Nexus）、三星（Galaxy）、树莓（Pi 3）、小米（RedMi）的一些设备以及华硕、华为无线路由的某些接入点也很容易受到KrØØk的攻击。保守估计，总共有超过十亿个支持WiFi的设备和接入点受到影响。此外，许多其他未经研究人员测试的产品供应商也在其设备中使用了受影响的芯片组。

所以，对于普通用户来说，及时升级更新自己的硬件设备非常关键。