Wi-Fi軟件漏洞讓Android設備向攻擊者敞開大門

阿里巴巴安全團隊向 Google 安全團隊報告發現了一個 Wi-Fi 組件 wpa_supplicant 的漏洞，主要影響 Android，但 Windows 和 Linux 設備也可能受影響。

該漏洞有幾分類似去年的 Heartbleed 漏洞，wpa_supplicant 在使用管理幀解析 SSID 信息時，沒有正確驗證傳輸數據的長度，因此存在緩沖區溢出漏洞，可能向攻擊者暴露內存內容或允許攻擊者向內存寫入新數據。

攻擊者可利用該漏洞讓 wpa_supplicant 和 Wi-Fi 服務崩潰，一個特別構造的 SSID 可通過發送響應對受影響設備發動拒絕服務攻擊。

修正 wpa_supplicant 的補丁已經發布，但根據 Android 市場的碎片化，很可能許多受影響設備不會得到更新。