Wi-Fi 漏洞让 Android 设备向攻击者敞开大门

阿里巴巴安全团队向Google安全团队报告发现了一个Wi-Fi组件wpa_supplicant的漏洞，主要影响Android， 但Windows和Linux设备也可能受影响。该漏洞有几分类似去年的Heartbleed漏洞，wpa_supplicant在使用管理帧解析 SSID信息时，没有正确验证传输数据的长度，因此存在缓冲区溢出漏洞，可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。攻击者可利用该漏洞让 wpa_supplicant和Wi-Fi服务崩溃，一个特别构造的SSID可通过发送响应对受影响设备发动拒绝服务攻击。修正 wpa_supplicant的补丁已经发布，但根据Android市场的碎片化，很可能许多受影响设备不会得到更新。