首頁(yè)>>>技術(shù)>>>Wi-Fi

發(fā)表評論分享按鈕

免費公共WiFi泄密疑云

2012/05/07

  坐在星巴克的落地窗邊,杜瑞強沒(méi)有如常打開(kāi)iPhone的WiFi開(kāi)關(guān),雖然每天下午來(lái)星巴克喝杯咖啡、順便蹭蹭網(wǎng)早已成為他的習慣。但就像窗外廣州陰霾的天氣一樣,此時(shí)他的心情正在為天涯論壇上一篇網(wǎng)帖而備感糾結。

  這篇名為《有圖有真相,你還敢用UC上網(wǎng)嗎?》的帖子說(shuō),“在星巴克、麥當勞,黑客只要用一臺筆記本、一套無(wú)線(xiàn)熱點(diǎn)和一個(gè)叫做Wireshark的軟件,最少只要15分鐘,就能獲取通過(guò)臨時(shí)無(wú)線(xiàn)網(wǎng)絡(luò )上網(wǎng)者的賬號和密碼。”

  “雖然不知是真是假,但是聽(tīng)起來(lái)真有點(diǎn)恐怖。”杜瑞強擔憂(yōu)地說(shuō)。

  有著(zhù)同樣憂(yōu)慮的不止杜瑞強一人,自從上述網(wǎng)貼發(fā)布后,網(wǎng)絡(luò )上關(guān)于使用公共場(chǎng)所免費WiFi上網(wǎng)究竟是否安全的討論激增,更多市民開(kāi)始對公共場(chǎng)所WiFi上網(wǎng)的安全性問(wèn)題予以高度關(guān)注。

  公共免費WiFi,上還是不上,一串串有關(guān)安全的追問(wèn)隨之而來(lái)。

  如何防范釣魚(yú)WiFi

  天涯網(wǎng)帖的火爆傳播,讓釣魚(yú)WiFi臭名遠揚,也讓不少對于技術(shù)不太精通的用戶(hù)聞之生畏。有關(guān)專(zhuān)家指出,只要用戶(hù)增強主動(dòng)防范意識,并建立良好的WiFi使用習慣,就能夠防止墮入釣魚(yú)WiFi的陷阱。要想做到這一點(diǎn),有些小技巧可以利用。

  第一招 拒絕來(lái)源不明的WiFi

  正如“妖妃娘娘”所披露的那樣,設置釣魚(yú)WiFi陷阱的黑客大多利用的是用戶(hù)想要免費蹭網(wǎng)的占便宜心理。因此要想避免墮入類(lèi)似陷阱,首先要做到的就是盡量不要使用來(lái)源不明的WiFi,尤其是免費又不需密碼的WiFi。如果是在星巴克、麥當勞這樣有商家提供免費WiFi網(wǎng)絡(luò )的地方,用戶(hù)也要多留一個(gè)心眼,主動(dòng)向商家詢(xún)問(wèn)其提供的WiFi的具體名稱(chēng),以免在選擇WiFi熱點(diǎn)接入時(shí)不小心連接到黑客搭建的名稱(chēng)類(lèi)似的釣魚(yú)WiFi。

  第二招 及時(shí)更新升級瀏覽器

  和傳統有線(xiàn)網(wǎng)絡(luò )相比,WiFi網(wǎng)絡(luò )環(huán)境下,用戶(hù)信息的安全性挑戰更多。用戶(hù)在使用非加密的WiFi網(wǎng)絡(luò )或者陌生的WiFi網(wǎng)絡(luò )時(shí),最好提前在筆記本電腦或智能手機中安裝一些安全防范軟件以作提防。

  針對最容易泄露用戶(hù)信息的瀏覽器軟件,用戶(hù)除了要在官方網(wǎng)站進(jìn)行下載的和安裝之外,還要養成定時(shí)更新升級的好習慣。例如此前提到的UC瀏覽器,其最新的版本就加入了連接到無(wú)密碼的WiFi網(wǎng)絡(luò )自動(dòng)提醒用戶(hù)是否要斷開(kāi)的功能,這種功能升級對于用戶(hù)防范釣魚(yú)WiFi無(wú)疑會(huì )起到比較實(shí)用的效果。

  使用瀏覽器登錄網(wǎng)站時(shí),如果碰到需要用戶(hù)輸入賬戶(hù)名和密碼并彈出“是否記住密碼”選項框的情況,最好不要選擇“記住密碼”,因為“記住密碼”功能會(huì )將用戶(hù)的賬號信息存儲到瀏覽器的緩存文件夾中,無(wú)形中方便了黑客進(jìn)行竊取。

  第三招 手機軟件設置莫偷懶

  針對智能手機用戶(hù)尤其需要提醒的是,在日常使用時(shí)最好關(guān)閉WiFi自動(dòng)連接這項功能。因為如果這項功能打開(kāi)的話(huà),手機在進(jìn)入有WiFi網(wǎng)絡(luò )的區域就會(huì )自動(dòng)掃描并連接上不設密碼的WiFi網(wǎng)絡(luò ),這無(wú)疑會(huì )大大增加用戶(hù)誤連釣魚(yú)WiFi的幾率,為了一時(shí)方便而留下安全隱患,未免有些得不償失。

  另外,用戶(hù)在使用智能手機登錄手機銀行或者支付寶、財付通的金融服務(wù)類(lèi)網(wǎng)站時(shí),最好不要直接通過(guò)手機瀏覽器進(jìn)行,請優(yōu)先考慮使用銀行或者第三方支付公司推出的專(zhuān)用應用程序,這些程序的安全性要比開(kāi)放的手機瀏覽器高上不少。

  安全進(jìn)化史

  WiFi是一種短程無(wú)線(xiàn)傳輸技術(shù),能夠在數百英尺范圍內支持互聯(lián)網(wǎng)接入的無(wú)線(xiàn)電信號。隨著(zhù)技術(shù)的發(fā)展,以及IEEE802.11a、802.11b、802.11g以及802.11n等標準的出現,現在IEEE802.11這個(gè)標準已被統稱(chēng)作WiFi。

  第二次世界大戰后,無(wú)線(xiàn)通訊因在軍事上應用的成功而受到重視,但缺乏廣泛的通訊標準。于是,IEEE(美國電氣和電子工程師協(xié)會(huì ))在1997年為無(wú)線(xiàn)局域網(wǎng)制定了第一個(gè)標準——IEEE802.11。IEEE 802.11標準最初主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶(hù)的無(wú)線(xiàn)接入,其業(yè)務(wù)主要限于數據存取,速率最高只能達到2Mbps。

  在WiFi技術(shù)的發(fā)展過(guò)程中,除了傳輸速率不斷提升之外,安全加密技術(shù)的不斷增強也是其技術(shù)標準頻繁更新的重要原因。而最早進(jìn)入WiFi標準的加密技術(shù)名為WEP(Wired Equivalent Privacy,有線(xiàn)等效保密),但由于該技術(shù)的加密功能過(guò)于脆弱,很快就被2003年和2004年推出的WPA(WiFi Protected Access,WiFi網(wǎng)絡(luò )安全存取)和WPA2技術(shù)所取代。

  但即使是較新的WPA2加密技術(shù),仍然在無(wú)線(xiàn)開(kāi)放環(huán)境下存在安全性較弱、無(wú)法滿(mǎn)足電信級高可靠性要求等問(wèn)題,為此,我國依據“商用密碼管理條例”制定了針對WiFi既有安全加密技術(shù)漏洞自主安全標準WAPI(Wireless LAN Authentication and Privacy Infrastructure,無(wú)線(xiàn)網(wǎng)絡(luò )鑒別保密基礎結構)。

  2009年6月,工信部發(fā)布新政,宣布加裝WAPI功能的手機可入網(wǎng)檢測并獲進(jìn)網(wǎng)許可。當月,包括美國代表在內的參會(huì )成員一致同意,將WAPI作為無(wú)線(xiàn)局域網(wǎng)絡(luò )接入安全機制獨立標準形式推進(jìn)為國際標準。

  追問(wèn)1

  釣魚(yú)WiFi竊取用戶(hù)密碼?

  從技術(shù)角度來(lái)說(shuō),只要使用免費WiFi上網(wǎng),手機或者電腦都有可能被釣魚(yú)

  在那篇引發(fā)公共WiFi安全性問(wèn)題爭議的網(wǎng)帖中,名為“妖妃娘娘”的樓主詳細演示了如何用“Win7系統電腦、無(wú)線(xiàn)熱點(diǎn)和Wireshark軟件”竊取使用UC瀏覽器用戶(hù)個(gè)人信息和密碼的全過(guò)程。

  “妖妃娘娘”稱(chēng),按照該教程,即使是初級黑客也只需要兩個(gè)小時(shí),就能掌握如何在公共場(chǎng)所設置免費WiFi來(lái)進(jìn)行釣魚(yú),熟練后甚至僅需15分鐘就能夠輕松搞定使用UC瀏覽器上網(wǎng)用戶(hù)的密碼。而這其中的關(guān)鍵在于,UC瀏覽器本身存在安全漏洞,其所謂的“云加速”服務(wù)在傳輸用戶(hù)信息時(shí)使用了明文傳輸密碼,讓泄密成為了可能。

  對于這份“釣魚(yú)WiFi”的詳細教程,很快就有熱心網(wǎng)友進(jìn)行了親身驗證,結果證明在iPhone上使用版本號為8.2.1.132的UC瀏覽器,果真可以通過(guò)Wireshark軟件截取到登錄Gmail賬戶(hù)時(shí)輸入的賬號和密碼信息。

  看完網(wǎng)友實(shí)證帖后,杜瑞強想起自己平時(shí)肆無(wú)忌憚地在星巴克蹭網(wǎng),不由得有些后怕。

  然而,這還不是讓公共WiFi安全性問(wèn)題被徹底引爆的關(guān)鍵,在“妖妃娘娘”的網(wǎng)帖和隨后網(wǎng)友實(shí)證帖被廣泛傳開(kāi)后,有關(guān)“釣魚(yú)WiFi”竊取他人信息和密碼的強大能力被越傳越神,“網(wǎng)銀密碼也能輕松搞定”等說(shuō)法更是引起了眾多網(wǎng)友的強烈不安。

  作為UC瀏覽器開(kāi)發(fā)廠(chǎng)商——UC優(yōu)視公司對于這個(gè)問(wèn)題并沒(méi)有太多回避。

  該公司CEO俞永福直承,在前期某個(gè)版本的iPhone用UC瀏覽器上的確存在漏洞,但很快就推出了新版本的軟件加以改進(jìn)。不過(guò)他同時(shí)也表示,只要是遭遇“釣魚(yú)WiFi”,用戶(hù)上網(wǎng)過(guò)程中個(gè)人信息和密碼就都有可能被別有用心的黑客獲取,并非只有使用UC瀏覽器的用戶(hù)才會(huì )有這個(gè)風(fēng)險。

  “最大的問(wèn)題其實(shí)是在我們目前網(wǎng)站建設上普遍采用的HTTP(Hypertext Transfer Protocol,超文本傳輸)協(xié)議本身的安全性較低。”俞永福的說(shuō)法獲得了金山網(wǎng)絡(luò )安全專(zhuān)家李鐵軍的支持。

  李鐵軍稱(chēng),從技術(shù)角度來(lái)說(shuō)“妖妃娘娘”介紹的釣魚(yú)方法是可行的,但這并不止是手機瀏覽器的問(wèn)題,只要使用免費WiFi上網(wǎng),手機或者電腦都有可能被釣魚(yú),這種技術(shù)被業(yè)內稱(chēng)為“攻擊中間人”。

  李鐵軍進(jìn)一步解釋?zhuān)绻脩?hù)使用黑客設置的釣魚(yú)WiFi上網(wǎng),那么黑客使用相關(guān)軟件監視并記錄用戶(hù)在網(wǎng)上進(jìn)行的所有操作信息,從中竊取有價(jià)值資料,比如QQ聊天記錄、郵件內容等,“獲取網(wǎng)銀賬戶(hù)密碼的可能性較小,但也并不是完全沒(méi)有可能”。

  追問(wèn)2

  用戶(hù)資料泄露漏洞在哪?

  WiFi設備并沒(méi)有出現安全方面的問(wèn)題,是人們怎樣使用WiFi上出了問(wèn)題

  雖然專(zhuān)家證明“釣魚(yú)WiFi”的確有可能導致用戶(hù)的個(gè)人信息泄露,但這究竟是WiFi網(wǎng)絡(luò )本身的問(wèn)題還是其它方面的因素導致,這種泄露的后果究竟又會(huì )有多嚴重呢?

  貝爾金公司技術(shù)工程師梁漢明認為,釣魚(yú)WiFi引發(fā)的公共場(chǎng)所WiFi的安全性問(wèn)題和WiFi本身的安全性問(wèn)題,在本質(zhì)上是兩回事,前者更多的是人的問(wèn)題,但后者則只是較為單純的設備問(wèn)題。

    “首先我們需要承認WiFi設備是有一定技術(shù)漏洞,這種情況在各種高科技產(chǎn)品和服務(wù)中都存在,就像Windows系統市場(chǎng)多次爆出安全漏洞,美國五角大樓也曾經(jīng)被黑客攻破一樣,網(wǎng)絡(luò )設備和服務(wù)安全性雖然一直都在提升中,但誰(shuí)也不敢保證萬(wàn)無(wú)一失。”梁漢明說(shuō),2011年WiFi設備就曾經(jīng)爆出過(guò)WPS(WiFi保護設置)協(xié)議的漏洞,黑客只要用密碼窮舉法(使用計算能力強大的設備將的所有有可能性的密碼排列組合都嘗試一遍)暴力破解,能夠完全攻破WiFi設備的安全防護。“但這樣做不僅需要專(zhuān)業(yè)的設備,還需要精通相關(guān)安全協(xié)議的知識,并非一般黑客能做到的,即使能做到,也往往要花上幾天的時(shí)間。”

  但釣魚(yú)WiFi的情況顯然完全不同,“妖妃娘娘”稱(chēng)最短只需要15分鐘就能搞定用戶(hù)的賬號和密碼。“這是因為他本身就是設置了一個(gè)人為的陷阱,他攻克的本來(lái)就不是WiFi設備的安全防護,而是網(wǎng)絡(luò )瀏覽器的軟件漏洞,或者說(shuō)是網(wǎng)絡(luò )傳輸協(xié)議的漏洞。”梁漢明解釋道,在這整個(gè)過(guò)程中,WiFi設備其實(shí)扮演的只是數據傳輸通道的角色,造成用戶(hù)信息的泄露并非“WiFi設備惹的禍”,而是用戶(hù)貪便宜的心理和網(wǎng)絡(luò )瀏覽器和網(wǎng)絡(luò )傳輸協(xié)議的軟件漏洞。“在這件事上WiFi設備并沒(méi)有出現安全方面的問(wèn)題,是人們怎樣使用WiFi上出了問(wèn)題。”

  不過(guò)無(wú)論是哪個(gè)環(huán)節出了問(wèn)題,遭遇釣魚(yú)WiFi有可能導致用戶(hù)信息泄露的風(fēng)險卻是真實(shí)存在,僅這一點(diǎn),就足夠讓杜瑞強這樣的網(wǎng)絡(luò )用戶(hù)憂(yōu)心忡忡:“一想到有可能連網(wǎng)銀的賬號和密碼都泄露,就不敢再用了!”但在專(zhuān)業(yè)人士眼中,這種擔憂(yōu)顯得有些過(guò)慮。

  廣東發(fā)展銀行陳捷表示,目前絕大部分網(wǎng)絡(luò )銀行都已經(jīng)在頁(yè)面上加入了安全控件的技術(shù),而且登錄頁(yè)面也多是采用了HTTPS(超文本傳輸安全協(xié)議,Hypertext Transfer Protocol Secure)技術(shù),在終端和服務(wù)器之間進(jìn)行數據傳輸時(shí)采用的是密文形式,使用WireShark之類(lèi)的軟件是無(wú)法截取的。

  支付寶公司朱建稱(chēng),目前網(wǎng)絡(luò )第三方支付賬戶(hù)的登錄和使用也大多采用手機賬號綁定或者數字證書(shū)認證等技術(shù),即使黑客通過(guò)“釣魚(yú)WiFi”獲得了賬戶(hù)和密碼,在沒(méi)有相關(guān)數字證書(shū)和綁定賬號的手機短信認證的情況下,也是無(wú)法對賬戶(hù)資金進(jìn)行調動(dòng)的。

  追問(wèn)3

  免費公共WiFi還能用嗎?

  不少運營(yíng)商都提供免費WiFi,市民在公共場(chǎng)所最好選擇運營(yíng)商提供的WiFi

  釣魚(yú)WiFi被曝光后,在引發(fā)人們對WiFi安全性再檢討的同時(shí),也讓不少人對于是否應該繼續在公共場(chǎng)所接入WiFi網(wǎng)絡(luò )產(chǎn)生了懷疑。

  媒體人士潘少文平日經(jīng)常在機場(chǎng)、酒店等公共場(chǎng)所利用免費WiFi工作,現在正考慮買(mǎi)一個(gè)3G上網(wǎng)卡。

  潘少文的顧慮并非杞人憂(yōu)天。專(zhuān)門(mén)為中國移動(dòng)提供WiFi設備專(zhuān)業(yè)建設和維護服務(wù)工作的夏侯宇表示,目前公共場(chǎng)所的WiFi主要分為兩種,一種是有電信運營(yíng)商提供的WiFi熱點(diǎn),另一種則是商家為招徠客戶(hù)自行搭建的WiFi。

  “這兩種WiFi在技術(shù)上是有著(zhù)很大差距的。運營(yíng)商提供的公共WiFi網(wǎng)絡(luò )無(wú)論是否免費,都是采用電信運營(yíng)級的網(wǎng)絡(luò )設備,性能穩定。運營(yíng)商在WiFi組網(wǎng)時(shí)都會(huì )部署多種安全措施,例如連接上WiFi后要想上網(wǎng)還需要通過(guò)身份認證、或是要求使用專(zhuān)用的客戶(hù)端軟件等,在后臺服務(wù)器端,運營(yíng)商往往還會(huì )提供24小時(shí)的監控。”

  夏侯宇稱(chēng),普通商家自行搭建的WiFi熱點(diǎn)則大多使用民用級WiFi設備,“其實(shí)就是家庭用戶(hù)的普通無(wú)線(xiàn)路由器,而且后臺也沒(méi)有進(jìn)行專(zhuān)門(mén)的安全性設置,有的甚至連密碼都沒(méi)有,這就給黑客留下了乘虛而入的機會(huì )。”

  作為行業(yè)人士,夏侯宇個(gè)人建議,市民在公共場(chǎng)所最好優(yōu)先選擇運營(yíng)商提供的WiFi。“目前不少運營(yíng)商都針對其自身的用戶(hù)提供免費的WiFi使用時(shí)長(cháng),充分利用這種優(yōu)惠可以讓用戶(hù)在省錢(qián)的前提下享受到安全性更有保障的WiFi服務(wù)。”

  據了解,目前僅中國電信在廣東地區就已經(jīng)建設了超過(guò)5萬(wàn)個(gè)WiFi熱點(diǎn),主要分布在校園、酒店、賓館、機場(chǎng)、火車(chē)站等交通樞紐、大型購物廣場(chǎng)、商務(wù)樓宇等七類(lèi)公共場(chǎng)所,今年其還將新建2萬(wàn)個(gè)WiFi熱點(diǎn),使得省內WiFi熱點(diǎn)數量達到7萬(wàn)個(gè)的水平。而中國移動(dòng)今年在廣東也提出了新增1.7萬(wàn)個(gè)WiFi熱點(diǎn)的建設計劃,預計到年底其WiFi熱點(diǎn)總數將達4.2萬(wàn)個(gè)。

  行業(yè)分析人士楊群表示,隨著(zhù)未來(lái)運營(yíng)商之間競爭的加劇,這種由運營(yíng)商搭建的公共場(chǎng)所WiFi熱點(diǎn)規模還有可能進(jìn)一步擴大,而且免費的也會(huì )越來(lái)越多。
共 2 頁(yè):1 2 

南方日報


相關(guān)閱讀:
將Wi-Fi集成至蜂窩網(wǎng)絡(luò )中 2012-04-16
應對5G WiFi 新一代無(wú)線(xiàn)測試的挑戰 2012-02-24
Wi-Fi使用大調查:好不好用 2011-11-28
針對Wi-Fi安全隱患提六點(diǎn)上網(wǎng)建議 2011-10-17
高效WiFi分流方案服務(wù)四網(wǎng)融合 2011-09-19

分類(lèi)信息:  移動(dòng)_與_Wi-Fi技術(shù)
 相關(guān)頻道:  WiFi    
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 包头市| 津南区| 林甸县| 汾阳市| 阜平县| 金堂县| 莒南县| 双流县| 达日县| 兴宁市| 萨嘎县| 白水县| 潞城市| 岱山县| 寿光市| 定陶县| 广水市| 新密市| 海原县| 万年县| 锡林郭勒盟| 汝南县| 交口县| 娄底市| 新平| 南宁市| 巴彦淖尔市| 达尔| 霍州市| 丘北县| 安吉县| 三原县| 呼和浩特市| 喜德县| 锡林郭勒盟| 金川县| 深州市| 赣州市| 鲁甸县| 阳高县| 青龙| http://444 http://444 http://444 http://444 http://444 http://444