國家通訊傳播委員會(NCC)今表示,基礎網路建設及利用基礎網路之網際網路傳輸本即具有潛在各種可能之資安風險,因此,資安防護意識是所有設備製造商、服務提供者、以及使用者,包括各級政府、各產業企業經營者以及個人等,皆須具備之基本概念,更應建構資安防護之機制來降低資安風險,並時時檢視與更新。
根據媒體報導,美國國土安全部之電腦緊急應變中心(CERT)於本(106)年10月16日提出警告,全球數十億Wi-Fi 裝置,採用之WPA2(Wi-Fi Protected Access II)加密方式有重大資安漏洞,可能使原本透過加密Wi-Fi傳輸的資料遭駭客竊取。據了解使用者單純變更密碼仍無法防範,惟有更新Wi-Fi設備的修補程式才可杜絕KRACKs(Key Reinstallation Attacks)攻擊。據報導,WPA2漏洞係由比利時魯汶大學(KU Leuven)之研究員所發現,消息曝光前已經先保密數週,讓各家設備廠商有充分時間可以進行修補。另依據美國國土安全部CERT所列出的名單,上百家受影響廠商已經在8月底至10月中陸續接獲通知。目前蘋果表示相關漏洞已在稍早的macOS與iOS更新中修復;微軟的更新亦已於本月10日釋出;Google Pixel將可於11月6日後更新;其他Android 裝置則可能還需等上數週。
NCC說明,資安公司賽門鐵克指出,截至10月17日為止尚未發現駭客利用此漏洞進行攻擊;由於寬頻社會之骨幹網路係由電信業者積極建設,Wi-Fi網路服務由各應用場域之主政機關或民間組織等自行規劃,亦即,NCC督導或協調各電信業者佈建高速寬頻網路,提供各主政機關或民間組織或營業場所租用,以提升公共與創新服務之便利性,強化數位創新基礎環境。因此,NCC基於保障使用者權益,業責成通傳業者就其所設置於公眾場域或其提供用戶使用之Wi-Fi AP,應儘速說明其更新軟體之時程;並將函請Wi-Fi設備製造商也應儘速提供更新軟體,以提供消費者對自行裝設之Wi-Fi AP下載更新。Wi-Fi設備製造商一旦有相關Wi-Fi AP軟體更新資訊,NCC亦將公告於本會網站供民眾查詢。
此外,就此漏洞風險,NCC建議各界具體因應措施如下:
一、使用者使用無線網路上網時,需有資安風險及資安防護意識。
二、使用者應盡量瀏覽HTTPS網站。
三、使用者在使用Wi-Fi環境下,儘量避免傳送個人機敏資料。
四、使用者連網終端設備之作業系統,應儘速更新至最新版本。
五、Wi-Fi AP製造商提供軟體更新後,使用者對自行裝設之Wi-Fi AP,應儘速更至最新版本。
六、Wi-Fi AP未修補其漏洞前,使用者應盡量使用4G行動寬頻網路上網。
所謂KRACKs攻擊係指駭客利用WPA2 協定之四向交握(four-way handshake)過程產生之弱點,於存在漏洞的Wi-Fi無線網路範圍內發動攻擊,可攔截或竊取經由Wi-Fi傳輸之資料。在特定情況下,駭客甚至可以竄改、偽造傳輸之資料。
國際Wi-Fi聯盟(Wi-Fi Alliance)已確認KRACKs攻擊的可行性,並表示該漏洞可透過軟體更新來解決,且廠商已經加速準備推出軟體更新。另外亦有專家表示,透過WPA2的傳輸資料雖然可能外洩,且一般使用者很少會對 Wi-Fi AP進行更新,但因為多數網站都有其他安全協定及加密措施(如HTTPS),且連網終端設備之作業系統也會採取對應之更新措施,皆有利降低連網之資安風險。
連 絡 人:副處長徐國根
電 話:02-3343-8202
行動電話:0932-311-889