安全專家 馬蒂·范霍夫（Mathy Vanhoef）昨天公開披露了 WPA2 安全協(xié)議上面存在的 一個嚴重漏洞 。目前，大多數(shù)設(shè)備和路由器都依賴于 WPA2 協(xié)議來加密 Wi-Fi 流量，所以你很有可能會受到影響。

不過，我們先來搞清楚黑客利用 KRACK 漏洞 可以做什么，以及不可以做什么。

攻擊者可以攔截往來于設(shè)備與路由器之間的部分流量（如果這部分流量通過 HTTPS 協(xié)議進行了妥善的加密處理，那么攻擊者就拿它沒辦法）。

他們 無法通過這種漏洞來獲取你的 Wi-Fi 密碼。

只有在攻擊者清楚用戶正在做什么的時候，他們才能獲取用戶未加密的流量。

在某些設(shè)備上，攻擊者還可以實施 數(shù)據(jù)包注入（packet injection），做一些不光彩的事情。

這個漏洞最大的受害者就是那些在咖啡館和機場共享同一個 Wi-Fi 網(wǎng)絡(luò)的用戶。

攻擊者必須要處于你的設(shè)備所在的 Wi-Fi 網(wǎng)絡(luò)的覆蓋范圍內(nèi)。他們無法遠程對你實施攻擊，除非攻擊者控制了你的 Wi-Fi 網(wǎng)絡(luò)中的 肉雞 ，這個就比較復雜了。正因為如此，企業(yè)應(yīng)該盡快發(fā)布補丁，因為許多攻擊者可能只是在今天剛剛聽說這種漏洞。

至少從理論上講，攻擊者可以利用這種漏洞。而隨著時間的推移，它的影響可能是巨大的。舉例來說，如果你在兩臺物聯(lián)網(wǎng)設(shè)備里注入蠕蟲病毒，最終它很可能會創(chuàng)造一個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。但 KRACK 漏洞目前還不是這種情況。

那么，在 WPA2 安全協(xié)議存在漏洞的情況下，我們應(yīng)該如何保護自己呢？

為自己的無線設(shè)備打好補丁

好消息是，只要你給設(shè)備來一次安全更新就可以避免 KRACK 漏洞。已升級的設(shè)備和未升級的設(shè)備可以在相同網(wǎng)絡(luò)中共存，因為修復手段是向下兼容的。

因此，你應(yīng)該用最新的安全補丁來升級所有路由器以及 Wi-Fi 設(shè)備，比如筆記本電腦、手機和平板電腦（目前蘋果設(shè)備和微軟 Windows 的最新更新都已經(jīng)封堵了這個漏洞）。或者你可以打開設(shè)備的自動更新，避免將來再次遭到黑客攻擊，因為 KRACK 不會是你遇到的最后一個漏洞。

現(xiàn)代操作系統(tǒng)基本都可以做到自動更新。有些設(shè)備（即安卓設(shè)備）不會收到大量更新，漏洞可能會持續(xù)構(gòu)成威脅。一切的關(guān)鍵是，客戶端和路由器都需要安全更新，以應(yīng)對 KRACK 漏洞。

檢查路由器

你的路由器固件絕對需要升級。如果路由器是由互聯(lián)網(wǎng)服務(wù)提供商（ISP）提供的，你可以問一問該公司何時針對其設(shè)備發(fā)布安全補丁。如果他們不作出答復，你要不停地詢問。你可以通過登錄路由器控制臺（登陸地址和其他信息一般都在設(shè)備的背后貼著）確保路由器固件是最新的版本。

如果你的 ISP 不能迅速對固件進行升級，你還可以關(guān)掉運營商設(shè)備的 Wi-Fi 功能，選擇一個已經(jīng)發(fā)布安全補丁的路由器品牌。

以下是部分已經(jīng)發(fā)布安全補丁的路由器廠商名單：Ubiquiti、Microtik、Meraki、Aruba 和 FortiNet…

使用有線網(wǎng)

如果你的路由器沒辦法升級，在這種情況下，你最好只使用有線網(wǎng)絡(luò)，直到安全補丁推送過來。一定記住在路由器上關(guān)閉 Wi-Fi 網(wǎng)絡(luò)（假設(shè)可以在你的路由器上禁用 Wi-Fi 網(wǎng)絡(luò)），以確保所有流量都經(jīng)過有線網(wǎng)。

如果你仍然想繼續(xù)為某些設(shè)備保留 Wi-Fi，可以考慮將重要設(shè)備切換至以太網(wǎng)。例如，如果你每天在電腦上花幾小時，并且在這臺電腦上使用大量流量，那么出于安全考慮你應(yīng)該買根網(wǎng)線（以及可能需要的以太網(wǎng)轉(zhuǎn)接頭）。

使用蜂窩移動網(wǎng)絡(luò)

你的手機和平板電腦都沒有以太網(wǎng)接口。如果你想要確保沒有人能抓取你的數(shù)據(jù)，就應(yīng)該禁用設(shè)備上的 Wi-Fi 然后使用蜂窩網(wǎng)絡(luò)。如果你生活在一個信號不好或者手機流量不便宜的地方，或者說你不信任你的電信運營商，那么使用蜂窩網(wǎng)絡(luò)并不是一個理想選擇。

運行 Android 6.0 及以上的設(shè)備比其他設(shè)備更易遭到黑客攻擊。由于 Android 6.0 及以上的 Wi-Fi 握手機制有天生的執(zhí)行問題，黑客實施重新安裝攻擊簡直是輕而易舉。所以，安卓用戶必須要多加小心。

物聯(lián)網(wǎng)設(shè)備該怎么辦？

如果你擁有大量物聯(lián)網(wǎng)設(shè)備，應(yīng)該想一想一旦未加密流量被攔截，哪一種設(shè)備會構(gòu)成最大的威脅。例如，你有一臺不會加密流量的聯(lián)網(wǎng)監(jiān)控攝像頭，當你使用同一個 Wi-Fi 網(wǎng)絡(luò)時，攻擊者就可以竊取你家中的原始視頻片段。

采取相應(yīng)行動。例如，切斷 Wi-Fi 網(wǎng)絡(luò)中風險系數(shù)最大的設(shè)備，直至制造商發(fā)布安全補丁。一定要注意那類孩子可能將其連接到家中網(wǎng)絡(luò)的設(shè)備。

實話說，如果攻擊者截獲了往來于智能燈泡和路由器之間的流量，那倒沒什么關(guān)系，攻擊者會用這種信息去做什么呢？除非戶主是斯諾登。大部人都不可能面臨這種遭政府嚴密監(jiān)視的風險。因此，你應(yīng)該確定自己的危險程度，然后采取相應(yīng)的措施。

即便如此，物聯(lián)網(wǎng)在安全方面的名聲也不好。因此，你應(yīng)該趁現(xiàn)在這個機會，仔細檢查所有的互聯(lián)設(shè)備，想一想應(yīng)該扔掉哪些廠商沒有快速發(fā)布安全補丁的 Wi-Fi 設(shè)備——它們可能會對你的 Wi-Fi 網(wǎng)絡(luò)構(gòu)成某種長期風險。

安裝 HTTPS Everywhere 插件

正如上面提到的，通過將加密互聯(lián)網(wǎng)流量的優(yōu)先性放在未加密流量之前，你可以降低遭到黑客攻擊的風險。電子前線基金會（EFF）發(fā)布了一個名為“HTTPS Everywhere”的瀏覽器擴展件。如果你使用 Google Chrome、Firefox 或 Opera 瀏覽器，應(yīng)該考慮安裝這個擴展件。由于無需對 HTTPS Everywhere 進行設(shè)置，所以任何人都能輕松做到這一點。

如果網(wǎng)站提供未加密訪問（HTTP）和已加密訪問（HTTPS），HTTPS Everywhere 會自動告訴你的瀏覽器使用 HTTPS 版本，對流量進行加密處理。如果網(wǎng)站仍完全依賴于 HTTP，那么 HTTPS Everywhere 也對此束手無策了。如果網(wǎng)站在執(zhí)行 HTTPS 上表現(xiàn)很不好，而且流量又沒有經(jīng)過加密處理的話，這個擴展件同樣無用武之地。但是，有 HTTPS Everywhere 總比沒有好。

不要完全依賴 VPN

從理論上講，使用 VPN 好像是個聰明的選擇。但是，我們一直都在使用這種服務(wù)，所以你一定要對市面上的 VPN 服務(wù)倍加小心。你不能相信任何一個 VPN 服務(wù)。

當你使用 VPN 服務(wù)的時候，你要將所有互聯(lián)網(wǎng)流量重新導入某個數(shù)據(jù)中心的 VPN 服務(wù)器中。攻擊者看不到你在 Wi-Fi 網(wǎng)絡(luò)中的具體活動，但 VPN 服務(wù)商可以記錄你所有的互聯(lián)網(wǎng)流量，然后做出不利于你的事情。

例如，The Register 網(wǎng)站上周 發(fā)現(xiàn)了 一份法律文件，上面稱 PureVPN 向當局透露了用戶關(guān)鍵信息，追蹤并逮捕了一名男子。但是，該公司的網(wǎng)站卻宣稱 PureVPN 并沒有保留任何日志。再次提醒大家，千萬不要相信任何一家 VPN 服務(wù)商。除非你愿意創(chuàng)建自己的 VPN 服務(wù)器，否則 VPN 服務(wù)絕不是解決方案。

對特別偏執(zhí)的用戶又該怎么辦？

對于那些最為偏執(zhí)、不想或不能完全停止使用 Wi-Fi 網(wǎng)絡(luò)的用戶來說，只能讓他們搬到鳥不拉屎的地方了，這是最經(jīng)濟的選擇。

科技公司的首席執(zhí)行官們又是如何保護自己隱私的呢？他們的策略是 重金買下周圍地產(chǎn) ，然后將它們推倒，從而將個人數(shù)據(jù)遭監(jiān)視的風險降至最低。很顯然，這種策略的代價十分高昂。