iPhone Android都中招！手機WiFi零件現保安漏洞　即睇邊部機出事

iPhone、Android 手機的 Wi-Fi 零件爆保安危機，一個名為 Kr00k 的安全漏洞，出現在由 Broadcom 及 Cypress 生產的 Wi-Fi 晶片當中，令駭客可以破解 WPA-2 的 Wi-Fi 加密。根據資訊安全機構 ESET 估計，受影響的裝置隨時上億計。

iPhone、Android 及多種不同平台裝置由於 Broadcom 及 Cypress 生產的 Wi-Fi 晶片而出現的安全漏洞，是由資訊安全機構ESET的研究員率先發現，並將有關漏洞命名為 Kr00k。根據 ESET 估計，全球上億使用上述廠商 Wi-Fi 晶片的裝置，都有機會因為這個漏洞，讓駭客可以破解 WPA-2 級別的加密。

用簡單一點的方法去解釋，Kr00k 漏洞（CVE-2019-15126）是因為 Wi-Fi 晶片將本來應該加密傳送的部份用戶資料，以「全零」作為加密金鑰，令到入侵者可以成功截取經 WPA-2 加密的封包。受影響的 Apple 產品，包括以下的 iOS、iPadOS 及 macOS 裝置：

↓↓↓↓ Apple 裝置受 Kr00k 影響名單 ↓↓↓↓

除了 Apple 之外，現時已知括 Amazon、Google、Raspberry、Samsung 及小米的手機，以及由 ASUS 及華為生產的 Wi-Fi 路由器，同樣受到 Kr00k 漏洞的影響，名單如下：

Amazon Echo 2nd gen
Amazon Kindle 8th gen
Google Nexus 5
Google Nexus 6
Google Nexus 6S
Raspberry Pi3
Samsung Galaxy S4（GT-I9505）
Samsung Galaxy S8
紅米 3S

ASUS RT-N12 路由器
華為 B6125-25d 路由器
華為 EchoLife HG8245H 路由器
華為 E5577Cs-321 路由器

其實 Kr00k 漏洞已經存在一段時間，ESET 不過在到日前才於舉行的 RSA 資訊安全峰會中發布。Apple 在回覆資訊安全新聞網站ArsTechnica的查詢，表示已經在上年10 月分別為 iOS、iPadOS 及 macOS 裝置提供有關漏洞的安全更新。而 Amazon 亦表示已經為受影響裝置提供安全更新。

不過，ESET 表示未能夠測試所有市場上使用 Broadcom 及 Cypress 晶片的裝置，意味著可能有更多產品受有關漏洞影響。用戶的對應方法，就是在廠商推出更新的時候，儘快為產品進行更新。