相关专题:
章蔚玮
WiFi网络安全问题一直引人关注,在今年央视3.15晚会上,网络工程师演示了钓鱼WiFi是如何窃取用户信息的。近日,公共WiFi的问题再度引起外界关注,一份名为《中国一线城市WiFi安全与潜在威胁调查研究报告》中称,在北京、上海、广州三地采集的近7万个WiFi热点中,直接为攻击而架设的高危热点占到12%,其中在非运营商和政府提供的第三方热点中,带有攻击性的WiFi热点超过23%。在业内人士看来,实际情况或许更糟。
不仅有钓鱼还有寄生虫
发布这份调研报告的是上海安全团队袭雨团,团队负责人姚威对《IT时报》记者介绍,他们是通过人工携带、汽车安装4G路由器、MAC采集工具、WiFi安全测试器和黑盒攻击测试器等进行的测试。
此前,猎豹也曾发布类似报告,对全国各地8万个公共WiFi热点进行抽样调查,其中21%的公共WiFi热点存在安全风险。而今年3月360公司发布的
《2015中国WiFi安全绿皮书》中披露,国内80%的WiFi能在15分钟内被轻易破解,平均每天有约3.06%的WiFi会遭遇DNS劫持攻击,4.97%的WiFi会遭遇ARP攻击。
在这份报告中,有两组数据值得关注:在北京、上海和广州的测试公共区域中,官方提供的热点数量不足50%。其中,上海地区官方提供的热点数量占到采集热点总数的47.5%,
北京只有24%,广州地区这一比例更低;剩下超过一半的非官方热点中,具有明确攻击意图的寄生虫热点和钓鱼热点数量超过1/5。
除了之前被多次报道的钓鱼热点外,寄生虫热点、公然勒索信息热点首次出现在公众视野。根据袭雨团的调查,寄生虫热点在第三方热点中的比例高达14%。团队负责人姚威解释,寄生虫热点攻击正规WiFi热点,制造出虚假的登录页面,以此获取登录用户的个人信息。另一名安全人士介绍,寄生虫热点隐蔽性和欺骗性高,好比银行的ATM机上安装了读卡器。根据袭雨团在上海进行的调查,已经找到了存储用户信息的寄生虫热点。
另一种常见但不易被察觉的危险热点叫公然勒索信息热点,这也被定义为高危热点。用户在连入这些热点前,会被要求填写身份证、手机号等个人信息,并且无需密码就可以连上网络。而登录正规的WiFi热点时一般只需填写手机号,无需登记身份证信息。借助这种热点不法分子在短时间内就能获得大量用户信息。
非法WiFi能让iPhone变砖头
面对这么多高危热点,普通用户是否有能力判断?
“目前唯一识别WiFi安全与否的有效方式就是基于坐标、设备MAC地址进行综合评判。”在无线安全研究团队RadioWar创始人营智敏看来,目前对于普通用户,很难从单一角度判断某个WiFi热点是否安全可靠。
根据袭雨团的报告,他们选取的检测地点大多集中在人口密集的商圈,包括在上海的陆家嘴、中山公园等23个测试点,在这些地区中有一批不设密码可直接连入的免费WiFi。同时,他们发现官方热点也很容易被“黑客”盯上,制造为寄生热点。
这些高危热点带来的风险超出想象,用户连接上后会面临账户泄露的危险。
“连接上这些WiFi后,虽然你没有在使用网银,但是网银类应用如果一直在后台运行,那你的账户就是危险的。”在营智敏看来,在不安全WiFi网络下,手机的App可能会被植入恶意程序,进而产生安全风险。
更可怕之处在于,用户手机中的邮件设置为非法WiFi的入侵提供了便利。用户可以打开自己的手机,进入设置-邮件—账户-高级选项,看看其中SSL选项是否打开?有研究人士发现,目前市面上销售的手机大部分移动端邮件服务默认关闭SSL。SSL的功能是在访问邮件服务前经过证书对比形成双向加密通道,打开SSL后邮箱自动提交的账号密码会以加密形势传输。若将SSL关闭,移动端的安全软件还没检测连入WiFi是否安全,邮箱就会自动提交账号密码,攻击者会就此得手。上述研究人士算了这样一笔账:“如果每个WiFi有五个用户连入,每个用户一个邮箱,至少有五个账号密码被泄露,若其中三个是Apple ID邮箱,就可能有三台iPhone被锁导致勒索,如果每台设备解锁勒索500元,最起码赚1500~4500元甚至更多。”
未来从何入手
姚威透露,他们目前正和相关部门商讨解决方案,希望能从热点实名制、热点管理责任制等方面入手,来完善目前公共WiFi管理上存在的空白。在技术操作层面,他们希望能鼓励更多公共WiFi提供商公布自己设备MAC地址作为安全软件比对的验证信息,这相当于每个公共WiFi会有一套指纹,进行识别。
在营智敏看来,对于普通用户来说,可以做的是不要过度依赖WiFi,并且在访问WiFi时,把不必要的服务、App及时关闭。
11月11日,记者实地在中山公园、人民广场等商圈实地体验,测试连接了十多个WiFi热点,发现近一半的WiFi是无需密码就可免费登录的WiFi热点。对于普通用户来说,类似无法明确来源的免费WiFi需要谨慎连入。
