10月16日，雷锋网曾报道，用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议，应该已经被破解了！利用这些漏洞的影响包括解密、数据包重播、TCP 连接劫持、HTTP内容注入等。意思就是，只要你的设备连上了WiFi，都有可能被攻击。

有人称，吃瓜群众修改 WiFi 密码也没用，只能联系厂商坐等解决方案。

事实果真如此吗？

Wi-Fi安全漏洞源于安全标准，这次不怪个人

漏洞名叫“KRACK”，也就是“Key Reinstallation Attack”(密钥重安装攻击)，它曝露了 WPA2 的一个基本漏洞，WPA2是一个通用协议，大多现代无线网络都用到了该协议。攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量中。

攻击者通过漏洞可以获得一个万能密钥，不需要密码就可以访问任何 WAP2 网络。一旦拿到密钥，就可以窃听网络信息。

“KRACK”的发现者——比利时天主教鲁汶大学的一位安全专家Mathy Vanhoef 在他的报告中这样强调：

要发起一次成功的攻击行为，黑客要诱使用户重置在用的安全秘钥，这个过程需要不停地重复截获加密的4次握手信息。当用户重置秘钥时，相关的参数例如增量传输数据包的数量（Nonce），还有接收数据包数量（重放计数器）都会被重置为初始值。出于安全考虑，秘钥通常都是一次性的，但在WPA2协议中却并不是如此定义的。因此只要利用好WPA2网络连接过程中的 4 次加密握手过程，就可以完全绕过用户设置的无线密码。

这次漏洞的影响的范围很大，包括：Android、Linux、Apple、Windows、OpenBSD、 MediaTek、 Linksys等。

说白了，你用的设备基本逃不出这个圈。

这里有一张美国cert 发布的受影响厂商列表（文中只列举了目前确定受影响的厂商和确定未受影响影响的厂商，其他厂商目前是否受影响情况未知，详情可以查阅：https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4）

部分厂商修复进度，安卓的灾难？

微软：我们早补了

在漏洞爆出后，微软发言人表示，包括Windows10、Windows10 Mobile在内的Windows支持用户已经在10月10日的周日补丁更新日获得了修复性更新，开启自动更新效果更佳。

谷歌：下个月官方才为 Pixel 更新，但已悄悄通知合作厂商

超过 40%的安卓设备被报告受到了本次 Wi-Fi 漏洞的影响，但谷歌将在下个月为 Pixel 推送安全更新。

一位专注安卓和iOS 研究的安全研究员 S 对雷锋网(公众号：雷锋网)强调，安卓6.0及其以上的系统都受影响，补丁要到11月6日google才放出，所以在这段时间内，对使用安卓手机的用户来说是灾难。

“现在安卓用户也没太好的办法补救，都是些缓解措施，比如使用 VPN。因为这个攻击方法相当于强制重置你的信任热点连接，不太好防御。用 wep又容易被破解。”S 说。

难道安卓用户只能坐等被破？

S 表示，现阶段唯一办法还是使用 VPN 或有 https 加密通信的 App 防止中间人劫持。

但是，在截止发稿前，雷锋网突然得到一个消息人士 W 发过来的关键内部消息：各合作厂商在10月16日已经拿到谷歌发过来的补丁，oem厂商可以自行补，就看谁家升级快了，但是谷歌官方肯定是11月6日发布补丁，因为谷歌有固定的发布安全补丁的周期。

苹果：修复进行中

据 iMore报道，苹果已经在最新的测试版系统当中修复了这个严重的漏洞，该漏洞将在最新的iOS11.1 Beta3系统、watchOS 4.1和tvOS 11.1开发者测试版当中被修复。

S 补充认为，苹果只有group key受影响。这一点在发现者的早期论文中也有体现。（附该论文下载链接：papers.mathyvanhoef.com/ccs2017.pdf）