iPhone Android都中招！手机WiFi零件现保安漏洞　即睇边部机出事

iPhone、Android 手机的 Wi-Fi 零件爆保安危机，一个名为 Kr00k 的安全漏洞，出现在由 Broadcom 及 Cypress 生产的 Wi-Fi 芯片当中，令黑客可以破解 WPA-2 的 Wi-Fi 加密。根据资讯安全机构 ESET 估计，受影响的装置随时上亿计。

iPhone、Android 及多种不同平台装置由于 Broadcom 及 Cypress 生产的 Wi-Fi 芯片而出现的安全漏洞，是由资讯安全机构ESET的研究员率先发现，并将有关漏洞命名为 Kr00k。根据 ESET 估计，全球上亿使用上述厂商 Wi-Fi 芯片的装置，都有机会因为这个漏洞，让黑客可以破解 WPA-2 级别的加密。

用简单一点的方法去解释，Kr00k 漏洞（CVE-2019-15126）是因为 Wi-Fi 芯片将本来应该加密传送的部份用户资料，以“全零”作为加密金钥，令到入侵者可以成功截取经 WPA-2 加密的封包。受影响的 Apple 产品，包括以下的 iOS、iPadOS 及 macOS 装置：

↓↓↓↓ Apple 装置受 Kr00k 影响名单 ↓↓↓↓

除了 Apple 之外，现时已知括 Amazon、Google、Raspberry、Samsung 及小米的手机，以及由 ASUS 及华为生产的 Wi-Fi 路由器，同样受到 Kr00k 漏洞的影响，名单如下：

Amazon Echo 2nd gen
Amazon Kindle 8th gen
Google Nexus 5
Google Nexus 6
Google Nexus 6S
Raspberry Pi3
Samsung Galaxy S4（GT-I9505）
Samsung Galaxy S8
红米 3S

ASUS RT-N12 路由器
华为 B6125-25d 路由器
华为 EchoLife HG8245H 路由器
华为 E5577Cs-321 路由器

其实 Kr00k 漏洞已经存在一段时间，ESET 不过在到日前才于举行的 RSA 资讯安全峰会中发布。Apple 在回复资讯安全新闻网站ArsTechnica的查询，表示已经在上年10 月分别为 iOS、iPadOS 及 macOS 装置提供有关漏洞的安全更新。而 Amazon 亦表示已经为受影响装置提供安全更新。

不过，ESET 表示未能够测试所有市场上使用 Broadcom 及 Cypress 芯片的装置，意味著可能有更多产品受有关漏洞影响。用户的对应方法，就是在厂商推出更新的时候，尽快为产品进行更新。