為節省手機流量,一到公共場合就開始尋找連接免費的無線網絡,已成為許多市民的習慣。
然而,這兩天信息安全組織“雨襲團”發布的WiFi安全報告顯示,在南京機場、火車站、旅游景點、商業中心等近兩萬個WiFi熱點中,有超過6成的熱點并不安全。其中有14%為寄生蟲熱點,8.5%為釣魚WiFi。業內人士提醒,對于沒有專業知識的普通市民來說,不要隨意連公共場合的免費WiFi,是目前最安全的舉措。
探訪
免費WiFi熱點已成眾多公共場所“標配”
隨著智能手機的普及,隨處可見的免費WiFi熱點也成為很多流量有限的市民的“救星”。不過,這些熱點到底安不安全,成為許多人關注的問題。
昨天,現代快報記者走訪了南京新街口商圈,發現免費WiFi熱點已成為眾多公共場合“標配”,有的點擊就可以直接連上,有的則需要輸入手機號,接收驗證碼后即可連接。很多餐館也在墻上標注了WiFi的用戶名和密碼,供食客自行連接使用。
然而,這些公共熱點的安全性,引起許多人質疑。24歲的白領羅晴表示,她此前在用餐時曾使用過某家餐廳的免費WiFi,之后經常能收到包括這家餐廳在內的許多商家的促銷信息,讓她煩不勝煩。想了半天,唯一的線索就是,自己在這家店連接無線網絡時,曾輸入手機號索取驗證碼。
一位業內人士表示,在獲取驗證碼過程中,用戶的個人信息就已被后臺錄入了,之后網絡公司會把相關促銷信息發到每一個曾連接無線網的手機上。
不過,促銷信息的轟炸畢竟只是惱人,如果手機因為連無線網而導致錢財被竊、登錄信息被獲取,那就是大問題了。
數據
南京公共WiFi,僅4成是安全的
近日,信息安全組織“雨襲團”在“第五屆上海市信息安全活動周”的中國信息安全用戶大會上,公布了《中國一線城市WiFi安全與潛在威脅調查研究報告》。報告表示,利用最近半年時間,“雨襲團”在北上廣等國內一線城市,對近7萬個WiFi信號進行了調查,發現眾多WiFi信號其實并不安全,讓不少人心生恐慌。
據了解,信息安全組織“雨襲團”的創始人名叫姚威,南京人,今年26歲,比起本名來說,他的網名“黑客叔叔p0tt1”更為業內人所知。作為多家知名企業高危漏洞提交者,他在業內早已頗有名氣,如今從事信息安全顧問工作。
昨天,在接受現代快報記者采訪時他表示,其實這一調查從一開始也在南京同步進行,并獲得了相關統計結果。
調查組采用了4G路由器,MAC采集工具、WiFi安全測試器、黑盒攻擊測試器等專業設備,在測試場景中駐停或流動進行測試。調查過程中,組織成員共走訪了鐘山風景區、夫子廟等旅游景點,南京站、南京南站、仙林大學城、珠江路各大電腦城等熱門場所,以及新街口、湖南路等知名商圈,不完全統計下來,南京公共場合的WiFi共有19003個,其中安全的公共熱點7568個,僅占統計總數的39.8%。安全熱點中,政府部門提供熱點有1722個。
將南京所有被統計的熱點細化來說,它們中有34%為第三方公司業務,23%為店鋪自建熱點、14%為寄生蟲熱點,9%為公共設備,8.5%為釣魚WiFi,7.5%為家庭熱點,4%為臨時熱點。
分析
寄生蟲熱點,安全軟件都無法識別
這意味著什么?姚威向現代快報記者解釋,所有這些熱點中,目前“危險程度”最高的,堪稱“寄生蟲熱點”。
由于目前南京很多公共場合都設有WiFi熱點,很多是南京政府部門架設的,因此市民十分放心。然而,有不法分子將自帶的手機或路由器“寄生”在公共WiFi上,然后將自己的設備“偽裝”成正常WiFi信號,讓市民難以區分。有的甚至自帶壓制設備,對正常WiFi信號進行攻擊,導致連上正常信號的市民,無法以正常網速上網,最后被迫放棄,轉連“寄生蟲熱點”。而這種熱點,很多安全軟件也無法識別,使得用戶無論是登錄還是支付都毫不設防。
一旦連上這種熱點,它可能會進行經濟行為,比如用戶無論在哪兒付錢,最終錢款都將被轉走;或者在用戶購物時,后臺轉到不法分子開設的淘寶店,收取巨額錢款,造成用戶財產損失。它們還會獲取用戶的登錄信息,然后通過二次推廣廣告收取流量費用,比如在用戶登錄自己微博時,不法分子會發布賭博、色情等垃圾廣告,或在用戶正常看網頁時推送色情、游戲等垃圾廣告。
還有一類值得注意的是傳統的釣魚WiFi,它同樣會收集用戶的登錄信息,盜取用戶的各種賬戶和密碼。
還有一類就是第三方公司業務,它們不少也會推送垃圾廣告,并獲取用戶數據。
根據統計,所有不安全的WiFi中,有93%會獲取用戶信息和設備信息,87%會推送垃圾廣告,46%會利用釣魚等方式盜取賬號密碼,還有5%會修改并植入惡意軟件。
對策
別用公共WiFi進行支付操作
姚威表示,目前的數據還是保守估計,實際不安全的公共熱點可能比統計出的還要多。
但最讓人擔心的是,面對“寄生蟲熱點”,很多非專業的普通市民根本沒法分辨。由于正常熱點有可能被“寄生”,因此也就不存在一些人認為的“大場所的公共WiFi更為安全”的說法。
姚威建議,目前最好的防范辦法就是,建議普通市民在公共場合不要隨意連免費WiFi,“畢竟天下沒有免費的午餐。”
如果實在有急事需要連接公共WiFi,那么最好僅限于看視頻和新聞,不要嘗試支付類或登錄類操作。即使用戶某個軟件或頁面是自動登錄、不需要輸入密碼的,不法分子也可以在用戶連接網絡過程中使用用戶登錄信息進行垃圾廣告的二次推廣。
南京信息工程大學計算機與軟件學院教授沈劍也提醒,大多公共WiFi沒有經過任何處理,肯定有很多潛在風險。因此很多熱點在市民連接時,也會提醒,“連接網絡可能存在安全風險,是否同意”,說明用戶在使用公共WiFi時,必然承擔風險。
但市民也不用過分緊張。例如上網看新聞、視頻這樣的操作,對安全等級的要求不高,即使被人竊取,也只是知道瀏覽記錄等信息,對用戶不會造成太大影響。但對于支付等安全等級要求非常高的操作,用戶必須格外小心。
據《福布斯》網絡版報道,號稱“全球最大商用WiFi網絡提供商”的iPass公司公布的數據顯示,中國的WiFi數量位居全球第四。法國、美國和英國分別位居前三,WiFi熱點數量分別為1300萬個、980萬個和560萬個,中國現有WiFi熱點數量超過491萬個。整體來看,全球公用WiFi熱點數量超過了5000萬個,較2013年增長了80%。
然而,捷克一家安全軟件公司的移動安全專家分別針對美國、歐洲和亞洲9個城市的公共WiFi熱點安全性進行了調查。調查結果顯示,大多數WiFi熱點主要通過某種形式的加密進行防護,但這些措施防護能力較弱,黑客很容易就能獲取WiFi用戶的網頁瀏覽活動、搜索行為、密碼、視頻、電子郵件和其他個人信息。
京公網安備 11010502049343號