隨時隨地搜索免費Wi-Fi已然成為用戶的習慣,在享受Wi-Fi帶來便利的同時,用戶很少關注免費Wi-Fi上網的安全問題,由此而引發的Wi-Fi釣魚、盜取賬號、竊取隱私甚至盜刷銀行卡的事件時有發生。
在今年的“3·15”晚會上,央視對公共Wi-Fi的安全問題進行了曝光,現場互動說明在公共Wi-Fi環境下,黑客竊取用戶的個人信息輕而易舉。
Wi-Fi安全威脅源自多種原因
公共Wi-Fi網絡安全保障為何如此脆弱?中國信息通信研究院信息通信安全研究所副所長魏亮對這一問題做了解讀。他認為,諸多元素導致了公共Wi-Fi安全問題的產生。首先,Wi-Fi是無線接入,設計之初未過多考慮安全問題,與有線接入相比有天然的劣勢(蜂窩通信主要用于個人話音通信,在設計之初對安全有一定考慮);第二,公共Wi-Fi一般提供免費接入,接入提供者缺乏安全方面的經驗;第三,出于成本考慮,公共Wi-Fi接入的AP設備大量使用共享代碼,對被攻擊、后門、漏洞等安全問題考慮不足;此外,互聯網安全問題具有短板效應,而Wi-Fi接入堪稱最容易被黑客攻擊的短板。
除此之外,移動終端發展時間較短,整個生態系統并不健全,尤其是用戶安全意識淡薄,這些也是公共Wi-Fi安全威脅無處不在的重要原因。中國人民公安大學警務信息工程學院院長李欣表示:“Wi-Fi演進過程是性能不斷提升、安全不斷加固的過程,用戶在使用Wi-Fi時不關心Wi-Fi安全問題,大多數還延續舊的不安全配置,從而導致安全問題層出不窮。”另外,“Wi-Fi技術認證過程大部分是單向認證的,即AP認證用戶。”如此一來,黑客只要知道AP的名稱、用戶名和密碼這三個因素,設置釣魚Wi-Fi盜取用戶信息就很簡單。
竊取個人密碼方式眾多
在“3·15”晚會現場互動中,主持人邀請現場觀眾連接免費的公共Wi-Fi上傳自拍照,不過幾分鐘的時間,后臺扮演“黑客”的工程師就截獲了幾百位現場觀眾的自拍照,同時這些用戶經常登錄的郵箱名稱和密碼也被公布在大屏幕上。公共Wi-Fi網絡的安全問題伴隨“商用Wi-Fi”的崛起,一直備受詬病。
黑客竊取公共Wi-Fi的密碼的方式眾多。魏亮表示:Wi-Fi密碼過于簡單,容易被破解;AP設備使用缺省管理員密碼、存在后門、漏洞或者通用密碼,都會導致惡意人員控制AP任意截取信息、更改DNS等;惡意人員直接從空口獲取信息;AP設備管理員密碼過于簡單,導致惡意人員控制AP任意截取信息、更改DNS等,都是黑客竊取公共Wi-Fi密碼的常用方式。
魏亮還提醒用戶:“一般虛假AP會把網絡名稱設置成讓用戶誤以為信任的服務提供者,例如,在星巴克附近設置Star-Buck-1,或者CMCC-2等。惡意設置專門竊取用戶信息的AP(正常AP被黑客控制以后安全風險也等同于專門竊取用戶信息的AP)是免費公共Wi-Fi最大的危險。”
為了防止手機用戶在公共Wi-Fi環境下個人隱私被竊取,在“3·15”晚會上,技術專家表示,建議使用電信運營商的2G/3G/4G網絡上網。魏亮認為:“當前對Wi-Fi信息盜取的技術門檻低,設備要求少,Wi-Fi的AP設備容易被控制;電信運營商的2G/3G/4G網絡信息盜取相對困難,基站設備不容易被攻擊,因此安全性要高一些。”李欣坦言:“在系統實施過程中需要人員運維,運營商2G/3G/4G網絡專門的人員維護的能力,是公共Wi-Fi提供者無法比擬的。”
總體而言,傳統電信網絡比互聯網封閉、成本高、設備專用,也相對安全。然而隨著網絡的融合,互聯網提供電信業務,電信網使用IP技術。因此互聯網逐步重視安全;電信網逐步開放,安全性有所下降,也會出現涉及IP技術的非傳統安全問題。
協同合作保安全
針對日趨嚴峻的Wi-Fi安全問題,電信運營商、手機廠商、安全軟件開發商和用戶本人應該互相協同以保障信息安全,尤其是廣大網民在公共場所使用Wi-Fi時,更應注意做好防護措施。
魏亮表示:“業務提供者對用戶密碼、ID應適當加密,不明文傳送;Wi-Fi接入提供者使用安全的AP設備,設置加密強度足夠的管理員密碼,對用戶進行安全提示;應用廠商應減少應用漏洞的產生,出了問題要及時修補;網民接入公共Wi-Fi時盡量不要使用網銀、郵箱等,盡量只瀏覽不登錄。”各方應該合力把網絡環境建設得更加安全。
李欣則提醒用戶:“要提高安全意識,個人財產的支付要選擇安全的環境,優先選擇電腦支付。同時,用戶在使用免費Wi-Fi時要有良好的安全習慣:認清支付網站,在正規的應用商城下載APP應用,使用良好的安全工具等。”
國內公共Wi-Fi安全問題由來已久,海外在公共Wi-Fi安全防護上是否有自己的獨到之處?魏亮表示:“海外市場的公共Wi-Fi技術本身并不比國內市場安全,在Wi-Fi技術標準上,國內外未有差距。”李欣則透露:“國內用戶規模大,并且安全意識淡薄。在自覺遵從安全守則方面,國內和國外尚有差距,需要用戶認真遵守安全規則,從而保護自己的信息安全。”
京公網安備 11010502049343號