近日����,公共Wi-Fi的問題再度引起外界關(guān)注,一份名為《中國一線城市Wi-Fi安全與潛在威脅調(diào)查研究報告》中稱���,在北京����、上海、廣州三地采集的近7萬個Wi-Fi熱點中����,直接為攻擊而架設(shè)的高危熱點占到12%,其中在非運營商和政府提供的第三方熱點中��,帶有攻擊性的Wi-Fi熱點超過23%�����。
Wi-Fi網(wǎng)絡(luò)安全問題一直引人關(guān)注�����,在今年央視3.15晚會上���,網(wǎng)絡(luò)工程師演示了釣魚Wi-Fi是如何竊取用戶信息的��。近日���,公共Wi-Fi的問題再度引起外界關(guān)注��,一份名為《中國一線城市Wi-Fi安全與潛在威脅調(diào)查研究報告》中稱���,在北京、上海���、廣州三地采集的近7萬個Wi-Fi熱點中���,直接為攻擊而架設(shè)的高危熱點占到12%,其中在非運營商和政府提供的第三方熱點中�����,帶有攻擊性的Wi-Fi熱點超過23%��。在業(yè)內(nèi)人士看來����,實際情況或許更糟。
不僅有釣魚還有寄生蟲
發(fā)布這份調(diào)研報告的是上海安全團隊襲雨團��,團隊負責(zé)人姚威對《IT時報》記者介紹�,他們是通過人工攜帶����、汽車安裝4G路由器�����、MAC采集工具���、Wi-Fi安全測試器和黑盒攻擊測試器等進行的測試。
此前���,獵豹也曾發(fā)布類似報告��,對全國各地8萬個公共Wi-Fi熱點進行抽樣調(diào)查��,其中21%的公共Wi-Fi熱點存在安全風(fēng)險�。而今年3月360公司發(fā)布的 《2015中國Wi-Fi安全綠皮書》中披露�,國內(nèi)80%的Wi-Fi能在15分鐘內(nèi)被輕易破解,平均每天有約3.06%的Wi-Fi會遭遇DNS劫持攻擊����,4.97%的Wi-Fi會遭遇ARP攻擊。
在這份報告中���,有兩組數(shù)據(jù)值得關(guān)注:在北京���、上海和廣州的測試公共區(qū)域中���,官方提供的熱點數(shù)量不足50%。其中����,上海地區(qū)官方提供的熱點數(shù)量占到采集熱點總數(shù)的47.5%, 北京只有24%,廣州地區(qū)這一比例更低;剩下超過一半的非官方熱點中��,具有明確攻擊意圖的寄生蟲熱點和釣魚熱點數(shù)量超過1/5�。
除了之前被多次報道的釣魚熱點外,寄生蟲熱點��、公然勒索信息熱點首次出現(xiàn)在公眾視野�����。根據(jù)襲雨團的調(diào)查����,寄生蟲熱點在第三方熱點中的比例高達14%。團隊負責(zé)人姚威解釋�,寄生蟲熱點攻擊正規(guī)Wi-Fi熱點��,制造出虛假的登錄頁面����,以此獲取登錄用戶的個人信息��。另一名安全人士介紹���,寄生蟲熱點隱蔽性和欺騙性高,好比銀行的ATM機上安裝了讀卡器�����。根據(jù)襲雨團在上海進行的調(diào)查��,已經(jīng)找到了存儲用戶信息的寄生蟲熱點���。
另一種常見但不易被察覺的危險熱點叫公然勒索信息熱點���,這也被定義為高危熱點。用戶在連入這些熱點前�����,會被要求填寫身份證、手機號等個人信息�����,并且無需密碼就可以連上網(wǎng)絡(luò)��。而登錄正規(guī)的Wi-Fi熱點時一般只需填寫手機號���,無需登記身份證信息�。借助這種熱點不法分子在短時間內(nèi)就能獲得大量用戶信息��。
非法Wi-Fi能讓
iPhone變磚頭
面對這么多高危熱點�����,普通用戶是否有能力判斷? “目前唯一識別Wi-Fi安全與否的有效方式就是基于坐標����、設(shè)備MAC地址進行綜合評判。”在無線安全研究團隊RadioWar創(chuàng)始人營智敏看來�����,目前對于普通用戶�����,很難從單一角度判斷某個Wi-Fi熱點是否安全可靠。
根據(jù)襲雨團的報告�,他們選取的檢測地點大多集中在人口密集的商圈,包括在上海的陸家嘴����、中山公園等23個測試點�����,在這些地區(qū)中有一批不設(shè)密碼可直接連入的免費Wi-Fi���。同時����,他們發(fā)現(xiàn)官方熱點也很容易被“黑客”盯上����,制造為寄生熱點。
這些高危熱點帶來的風(fēng)險超出想象���,用戶連接上后會面臨賬戶泄露的危險�����。 “連接上這些Wi-Fi后�����,雖然你沒有在使用網(wǎng)銀�,但是網(wǎng)銀類應(yīng)用如果一直在后臺運行,那你的賬戶就是危險的���。”在營智敏看來����,在不安全Wi-Fi網(wǎng)絡(luò)下���,手機的App可能會被植入惡意程序��,進而產(chǎn)生安全風(fēng)險�����。
更可怕之處在于��,用戶手機中的郵件設(shè)置為非法Wi-Fi的入侵提供了便利����。用戶可以打開自己的手機,進入設(shè)置-郵件—賬戶-高級選項���,看看其中SSL選項是否打開?有研究人士發(fā)現(xiàn)����,目前市面上銷售的手機大部分移動端郵件服務(wù)默認關(guān)閉SSL�。SSL的功能是在訪問郵件服務(wù)前經(jīng)過證書對比形成雙向加密通道��,打開SSL后郵箱自動提交的賬號密碼會以加密形勢傳輸��。若將SSL關(guān)閉��,移動端的安全軟件還沒檢測連入Wi-Fi是否安全�����,郵箱就會自動提交賬號密碼����,攻擊者會就此得手。上述研究人士算了這樣一筆賬:“如果每個Wi-Fi有五個用戶連入��,每個用戶一個郵箱,至少有五個賬號密碼被泄露���,若其中三個是Apple ID郵箱�����,就可能有三臺iPhone被鎖導(dǎo)致勒索����,如果每臺設(shè)備解鎖勒索500元��,最起碼賺1500~4500元甚至更多�。”
未來從何入手
姚威透露,他們目前正和相關(guān)部門商討解決方案����,希望能從熱點實名制、熱點管理責(zé)任制等方面入手��,來完善目前公共Wi-Fi管理上存在的空白�。在技術(shù)操作層面,他們希望能鼓勵更多公共Wi-Fi提供商公布自己設(shè)備MAC地址作為安全軟件比對的驗證信息����,這相當(dāng)于每個公共Wi-Fi會有一套指紋�����,進行識別�����。
在營智敏看來�����,對于普通用戶來說��,可以做的是不要過度依賴Wi-Fi�����,并且在訪問Wi-Fi時,把不必要的服務(wù)���、App及時關(guān)閉����。
11月11日���,記者實地在中山公園���、人民廣場等商圈實地體驗�����,測試連接了十多個Wi-Fi熱點�����,發(fā)現(xiàn)近一半的Wi-Fi是無需密碼就可免費登錄的Wi-Fi熱點���。對于普通用戶來說,類似無法明確來源的免費Wi-Fi需要謹慎連入����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無意。如您是字體廠商����、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們�����,本站核實后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償����!敬請諒解!
粵公網(wǎng)安備 44030402000264號