Wi-Fi 漏洞 Kr00k 曝光：全球数十亿台设备受影响，

Wi-Fi 漏洞 Kr00k 曝光：全球数十亿台设备受影响，

由赛普拉斯半导体和博通制造的 Wi-Fi 芯片存在严重安全漏洞，让全球数十亿台设备非常容易受到黑客的攻击，能让攻击者解密他周围空中传输的敏感数据。

在今天开幕的 RSA 安全会议中，这项安全漏洞被公开。而对于 Apple 用户而言，该问题已在去年 10 月下旬发布的 iOS 13.2  和 macOS 10.15.1 更新中得到了解决。

安全公司 ESET 在 RSA 会议上详细介绍了这个漏洞，黑客可以利用称为 Kr00k 的漏洞来中断和解密 Wi-Fi 网络流量。该漏洞存在于赛普拉斯和博通的 Wi-Fi 芯片中，而这是拥有全球市场份额较高的两大品牌，从笔记本电脑到智能手机、从 AP 到物联网设备中都有广泛使用。

其中亚马逊的 Echo 和 Kindle、苹果的 iPhone 和 iPad、谷歌的 Pixel、三星的 Galaxy 系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。

黑客利用该漏洞成功入侵之后，能够截取和分析设备发送的无线网络数据包。Ars Technica 表示：

Kr00k 利用了无线设备从无线接入点断开关联时出现的漏洞。如果终端用户设备或 AP 热点遭到攻击，它将把所有未发送的数据帧放入发送缓冲区，然后再无线发送它们。易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密此数据，而是使用由全零组成的密钥，此举使解密变得不太可能。

一件好事是，Kr00k 错误仅影响使用 WPA2-个人或 WPA2-企业安全协议和 AES-CCMP 加密的 Wi-Fi 连接。 这意味着，如果使用赛普拉斯半导体和博通 Wi-Fi 芯片组设备，则可以防止黑客使用最新的 Wi-Fi 验证协议 WPA3 进行攻击。

据发布有关该漏洞的详细信息的 ESET 称，该漏洞已与潜在受影响的各方一起公开给了赛普拉斯半导体和博通。目前，大多数主要制造商的设备补丁已发布。

来源：cnBeta.COM

更多资讯

iOS 13 全系越狱发布：iPhone 6s 到 iPhone 11 皆支持

前不久，Pwn20wnd 团队发布 unc0ver v4.0.0，实现对 A12~A13 处理器 iOS 13 设备的越狱支持，换言之，iPhone XS 系列、iPhone XR、iPhone 11 系列、现款 iPad Pro/iPad Air/iPad mini 均“解锁金身”。

来源：快科技
详情链接： https://www.dbsec.cn/blog/news.html 

HackerOne 报告：2019 年有 7 位道德黑客赏金收入超 100 万美元

黑客活动变得更加频繁，但从某种角度来说这并不是一件坏事。漏洞悬赏平台 HackerOne 近日发布了道德黑客状况年度报告，表示在 2020 年该组织已拥有 60 万名白帽黑客，成员规模是去年的两倍。而且在过去的 12 个月中这些白帽黑客赚取的赏金突破了4000万美元。

来源：快科技
详情链接： https://www.dbsec.cn/blog/news.html 

美国警方曝多起遭勒索软件攻击失去证据事件 致六名毒犯获自由

检察官被迫放弃对六名毒犯的 11 项毒品案件指控，由于佛罗里达警方受到勒索软件攻击，关键证据丢失。该起攻击发生在 2019 年 4 月，事后警方只从备份文件中恢复了一部分数据，其他一些数据无法恢复，其中就有这 11 项毒品案件的数据，主要有照片和视频数据。主办案件的警探表示，这 11 项指控包括拥有冰毒、可卡因，生产、销售和分发毒品等等。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

数据泄露暴露了面部识别公司 Clearview AI 客户列表

一家面部识别创业公司，早些时候被揭露为美国数百家执法机构所使用，却遭受了数据泄露。Clearview AI 的律师 Tor Ekeland 的一份声明说，安全是公司的重中之重。正如 The Daily Beast 最初报道的那样，访问的数据包括Clearview的客户列表，每个客户拥有的帐户数量以及这些客户进行的搜索次数。

来源：ZDNet
详情链接： https://www.dbsec.cn/blog/news.html 

（信息来源于网络，安华金和搜集整理）