Wi-Fi软件漏洞让Android设备向攻击者敞开大门

阿里巴巴安全团队向 Google 安全团队报告发现了一个 Wi-Fi 组件 wpa_supplicant 的漏洞，主要影响 Android，但 Windows 和 Linux 设备也可能受影响。

该漏洞有几分类似去年的 Heartbleed 漏洞，wpa_supplicant 在使用管理帧解析 SSID 信息时，没有正确验证传输数据的长度，因此存在缓冲区溢出漏洞，可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。

攻击者可利用该漏洞让 wpa_supplicant 和 Wi-Fi 服务崩溃，一个特别构造的 SSID 可通过发送响应对受影响设备发动拒绝服务攻击。

修正 wpa_supplicant 的补丁已经发布，但根据 Android 市场的碎片化，很可能许多受影响设备不会得到更新。