隨著智能手機、平板電腦等移動設備的快速普及,以及移動互聯網的迅猛發展,路由器、WiFi已經成為人們連接互聯網最重要的渠道和入口。但與此同時,無線網絡入口也正面臨著越來越嚴峻的安全威脅。
蹭網、破解家用路由器、公共WiFi釣魚等相關案例,在2014年上半年頻繁爆發。不久前,央視財經頻道以“危險的WiFi”為題,專題報道了無線網絡存在的巨大安全隱患,再次給網民敲響警鐘。無線網絡安全,不僅威脅著網民的個人隱私安全,有的甚至直接盜取網銀資產,需要所有網民提高警惕。
金山毒霸安全中心針對路由器及WiFi安全進行了深入研究,分析了來自金山毒霸路由管理大師用戶體驗改善計劃的結果反饋和毒霸論壇反饋調查,研究發現:
傳統路由器管理后臺有大約30個設置項,有七成的男性網民不會配置,女性網民中更有超過九成不會操作。
高達60%的網民使用默認密碼登錄路由器管理后臺,如admin、guest、password、root等,大約36%的網民使用的是弱密碼登錄,另有接近1/4的網民使用的WiFi連接密碼也是弱密碼。
某款熱銷的家用路由器,被黑客攻擊導致DNS被篡改的數量超過3200臺。
有9%的網民感覺家庭網速慢是因為被他人蹭網。
在繁華商業區、寫字樓中、居民小區內,使用WiFi共享軟件蹭網的成功率分別達到80%、33%和6%,另外分別有15%、70%、90%的民眾對其帶來的安全性表示擔憂。
在公共場所連接免費WiFi上網時,遇到廣告強制彈出的占30%;還有5%的網友遇到過帳號被盜或金錢損失。
一、家用路由器安全分析
1、傳統路由器非常繁瑣的操作體驗
在研究安全風險之前,先來分析下傳統路由器十分繁雜的市場狀況與繁瑣的操作體驗,而實際上,這種情況也直接影響著路由器和無線網絡的安全性。
統計顯示,傳統路由器一共有幾十個品牌,如TP-LINK、D-LINK、騰達、磊科等;每個品牌都有若干不同的型號,有些品牌在市銷售的型號就接近50款;而每個產品型號又有若干不同的固件版本,像某款路由器固件版本就超過17個。
傳統路由器的操作又是很高的門檻。金山毒霸安全中心調查發現,傳統路由器管理后臺有大約30個設置項,有七成的男性網民不會配置,女性網民中更有超過九成不會操作。當無線網絡出現卡慢或者故障時,有65%的網民首先選擇斷開電源然后重啟,只有不到10%的網民會登錄路由器后臺查看。
圖1 不會配置路由器的男女比例
由于傳統路由器產品線繁雜,使用體驗糟糕,84%的網民不曾修改過WiFi密碼,有75%的網民3個月之內不曾對路由器進行過任何操作,超過99%的網民不曾進行固件升級,這都留下了嚴重的安全隱患。
2、弱密碼風險
家庭無線網絡主要有兩個密碼口令:一個是接入WiFi的密碼;另一個是路由器管理密碼。這兩個密碼的重要性不言而喻,如果WiFi密碼泄露,他人就可以輕松蹭網,搶占寬帶資源;如果路由器管理密碼泄露,他人就可以獲得路由器最高管理權限,隨意更改WiFi密碼,甚至植入后門病毒,篡改DNS,劫持網民訪問釣魚網站,帶來嚴重安全威脅。
但金山毒霸安全中心分析發現,超過半數的網民對這兩個密碼未引起足夠的重視。高達60%的網民使用默認密碼登錄路由器管理后臺,如admin、 guest、password、root等;大約36%的網民使用的是弱密碼;另有接近1/4的網民使用的WiFi連接密碼也是弱密碼。弱密碼多為有規律的鍵位分布或數字字母序列,比如“12345678”、“11111111”、“aaaaaaaa”等。
圖2 家用無線路由器弱密碼風險統計
密碼強度越高,攻擊者破解難度呈幾何級增長;但如果是弱密碼,可能幾分鐘內就被破解了。實際上,弱密碼安全風險經過簡單設置即可避免,但調查顯示,網民在使用WiFi過程中,更多考慮的是方便性,而忽視了安全性。
3、安全漏洞與DNS劫持
部分路由器存在一些已知的安全風險,但由于較多路由器固件的升級步驟較為繁瑣,或者消費者使用的是已經停止維護的路由器產品,安全漏洞就可能長期存在,除非用戶主動更換。
金山毒霸安全中心隨機抽取市面上近300款家用無線路由器,發現近百款路由器存在可利用漏洞,比例高達1/3。利用這些漏洞,黑客可向網頁中嵌入指定攻擊代碼,篡改DNS,還可以在未授權的情況下,下載路由器的配置信息,達到劫持目的。
據統計,全國3.3%的路由器DNS曾經遭到惡意篡改。某款熱銷的家用路由器,被黑客攻擊導致DNS被篡改的數量超過3200臺。
另外,部分網民在配置路由器時選擇了一些不安全的設置。統計顯示,采用過時的WEP加密協議的路由器比例接近10%。根據已知的安全常識,路由器使用WEP協議,密碼可被黑客輕易破解。目前,主流家用路由器的標準配置是WPA2協議。
路由器的一鍵加密功能WPS(Wi-Fi Protected Setup,WiFi保護設置)也存在安全漏洞。一般家用路由器都具有此功能,它是出于安全目的開發的,可簡化路由器設置。但事與愿違,此前有黑客實際測試,如果開啟了WPS功能,黑客可以在2小時內100%破解。這個簡化的安全設置反而讓路由器變得很不安全。
二、蹭網與被蹭網
1、網速卡慢有可能是被蹭網
多數網民家中安裝了寬帶,但對于網速仍不夠滿意。不久前,某測速工具發布的2014年第二季度全國網速實測報告顯示,中國電信用戶平均下載和上傳網速分別為3.38Mb/s和2.65Mb/s,中國移動為2.95Mb/s和3.12Mb/s,中國聯通為2.71Mb/s和2.35Mb/s。
在上述報告參與網速滿意度調查的15000多個網民中,感覺非常失望的人數超過了半數,3/4的網民對網速不滿意。
圖3 網民對網速的滿意度調查
網速為什么總是這么慢?金山毒霸通過問卷調查和論壇反饋進行了分析,43%的網民認為寬帶不夠用或者運營商的套餐縮水,37%的原因是下載或觀看在線視頻導致。升級寬帶需要成本,下載和視頻又是剛需,這兩個因素較難解決,而除此之外,網速慢另有9%的原因是被他人蹭網,也就是別人在偷偷地免費地用你的WiFi上網!
圖4 網速慢的原因分析
調查顯示,有45%的網民感覺自己的WiFi網絡被他人蹭網,還有33%的網民即使感覺網速慢,但由于不知道如何檢查,所以不確定自己是否被蹭網。
圖5 有無被蹭網的主觀感受調查
“蹭網”已經成為了網絡搜索熱詞,在搜索引擎上可以搜到超過900萬個搜索結果,“WiFi破解”搜索結果更高達4550萬個!蹭網工具、WiFi破解接收器等也在不少網店里銷售。通過調查顯示,網民被蹭網除了密碼簡單等主觀原因外,來自外部的惡意技術破解更是主要原因。蹭網已經成為了網民路由器及WiFi安全的重要威脅。
圖6 被蹭網的原因分析
2、WiFi共享軟件帶來安全風險
今年以來,一種以蹭網為噱頭的WiFi共享軟件非常流行,初步統計,國內約有上億人安裝使用了此類軟件,他們免費蹭網覺得很愜意,殊不知,自己家里的WiFi也有可能因此被他人所蹭。
這類WiFi共享軟件的工作原理為:
用戶將自己已經連接上的WiFi分享出去,將WiFi名字和密碼上傳到云端。當其他用戶在附近發出連接請求時,軟件就自動從數據庫中篩選匹配用戶想要使用的WiFi熱點,不用用戶輸入密碼就能進入網絡。
看似非常方便,但問題在于,此類軟件往往默認勾選分享WiFi熱點,而且它無法區分所分享的WiFi是咖啡館的公共WiFi,家用的私人WiFi,或者企業辦公的內部WiFi。
舉例來說,某員工在企業內部WiFi環境下使用此類軟件上網,由于它具有自動收集上傳的特性,致使大量企業無線網連接密碼泄露。那么,試圖入侵該企業網絡的人,通過這類WiFi共享工具,可以大大降低其入侵難度。家庭網絡環境遭遇類似攻擊時同樣如此。
金山毒霸安全中心在北京數十個不同地點進行實地測驗,發現在不同地段通過WiFi共享軟件蹭網的成功率差別較大,民眾對其安全性的認識也同樣存有差別。
在繁華商業區,WiFi熱點主要來自酒店、咖啡廳、餐廳等公共場所,WiFi共享軟件破解連網的成功率高達80%,大多數網民認為帶來了方便,只有15%的民眾對其帶來的安全性表示擔憂。
在辦公樓下,許多WiFi熱點來自不同公司的工作內網,敏感性較強,連接成功率也確實降低不少,約達到33%,受訪的多數白領對這類蹭網軟件明顯提高了警惕性,多達70%的受訪者擔心它的安全性,認為工作網絡中不該使用此類軟件。
在居民小區里,民眾大都回家使用自己的WiFi,對連接或分享他人WiFi的熱情不高,使用WiFi共享軟件蹭網成功率很低,僅有6%。在得知自家網絡被破解和被蹭網的受訪者中,(有可能被使用此類軟件的朋友在家中做客時分享出去),90%表示震驚,認為自己的個人隱私面臨危險。
圖7 蹭網成功率調查
比蹭網更可怕的是,攻擊者連網成功后,還可能為路由器安裝后門病毒,利用后門**路由器的通信。你的上網習慣、人際關系、重要帳號密碼、郵件內容等都可能被攻擊者掌握。他還可以通過黑客工具對局域網內的其他聯網設備發起攻擊,比如劫持會話,帶來網銀被盜等更嚴重的后果。
三、公共WiFi安全分析
“有WiFi嗎?”在家里和辦公室之外,筆記本電腦、平板電腦、智能手機等移動設備經常有連接WiFi的需求。由于中國大陸的國情所限,消費者對3G/4G套餐和運營商提供的WiFi套餐價格比較敏感,網民經常會在公共場合選擇免費的公共WiFi接入。
但并非所有的公共WiFi都可以安全使用。有線局域網曾經出現過的風險,在移動設備接入WiFi之后都有可能遇到。而WiFi又不受物理端口限制,且無線網卡多數情況下默認處于打開的狀態,因此,WiFi所面臨的安全風險網絡甚至比有線網更嚴重。
最大的風險是攻擊者構造的“釣魚”WiFi。攻擊者往往選擇在繁華商業區構建一個免費的WiFi,吸引附近消費者接入,繼而通過特殊設備**網民的上網信息,竊取網民個人隱私與網絡賬號。攻擊者在利用釣魚WiFi**時,被攻擊者幾乎無法察覺。網民遭遇WiFi釣魚時主要面臨這三種風險:
風險1:被強制訪問釣魚網站,導致重要帳號信息泄露;
風險2:上網過程被**,瀏覽記錄包括朋友圈的資訊等被偷窺;
風險3:通過ARP攻擊,劫持網絡會話,導致重要服務登錄令牌被盜用,比如假冒他人身份發微博等;
據金山毒霸安全中心抽樣調查,外出旅游、就餐、娛樂時會選擇免費WiFi接入的概率超過80%;超過一半網民不清楚公共場所接入免費WiFi可能存在安全隱患;外出上網時,遇到廣告強制彈出的占30%;還有5%的網友表示接入公共場所WiFi之后不久,就遇到過帳號被盜或金錢損失。
對于普通網民來說,甄別安全的WiFi和危險的WiFi并不容易。攻擊者構造的WiFi往往更有吸引力,比如名稱中帶有商家名稱+Free后輟吸引連接。由ZF機關或電信運營商提供的免費WiFi更安全可靠,通常需要手機號碼驗證身份之后才能連接。危險的WiFi通常沒有密碼,可直接連接。
四、安全建議與解決方案
謹慎使用公共WiFi。在公共場所使用WiFi時,找工作人員確認后再鏈接使用。可以直接連接且不需要驗證或者密碼的WiFi,有可能是釣魚陷阱,盡量避免使用。
接入公共WiFi時,盡量不做一些敏感性較大的操作,比如移動支付、登錄網銀、登錄重要的網絡服務(微博、郵箱等)。
在筆記本電腦、平板電腦、智能手機上安裝殺毒軟件,可幫助網民攔截可能的釣魚網站和病毒木馬攻擊。如果殺毒軟件報警,建議斷開連接,確保安全。
路由器管理后臺的登錄賬戶、密碼,不要使用默認的admin,建議使用字母加數字的高強度密碼;設置的WIFI密碼應選擇WPA2加密認證方式,并使用較復雜的密碼。
建議安裝路由管理大師等相關管理工具,幫助網民便捷地配置和管理路由器,還可以進行安全檢測。
路由管理大師(下載鏈接:http://download.duba.net/2011/duba /The_New_DUBA_WuKong_Router_Master.exe)是金山毒霸最新推出的產品,除了具備簡潔的操作體驗,幫助用戶快速配置上網,更擁有三大安全特性,保護用戶上網安全。
第一,防蹭網設計。對于家用路由器來說,防蹭網是非常關鍵的一步。當陌生設備接入網絡時,路由管理大師會及時彈出警告或幫助斷開其連接。
圖9 路由管理大師管理終端接入點
第二,識別危險釣魚WiFi接入點。主要應用于筆記本電腦移動辦公的場景,防止設備無意中掉入黑客設置的WiFi釣魚陷阱。
第三,路由器安全體檢。使用簡單步驟,快速提升路由器安全等級,修復被黑客篡改的DNS設置。
京公網安備 11010502049343號