开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

非正规公共热点中超两成存风险:蹭网需谨慎

简介:
+关注继续查看

WiFi网络安全问题一直引人关注,在今年央视3.15晚会上,网络工程师演示了钓鱼WiFi是如何窃取用户信息的。直接为攻击而架设的高危热点占到12%,其中在非运营商和政府提供的第三方热点中,带有攻击性的Wi-Fi热点超过23%。业内人士称,实际情况或许更糟。除了之前被多次报道的钓鱼热点外,寄生虫热点、公然勒索信息热点首次出现在公众视野。

非正规公共热点中超两成存风险:蹭网需谨慎

“寄生虫”WiFi破坏性强 千万别乱蹭网 非官网公共热点中超两成存在安全风险

WiFi网络安全问题一直引人关注,在今年央视3.15晚会上,网络工程师演示了钓鱼WiFi是如何窃取用户信息的。近日,公共WiFi的问题再度引起外界关注,一份名为《中国一线城市WiFi安全与潜在威胁调查研究报告》中称,在北京、上海、广州三地采集的近7万个WiFi热点中,直接为攻击而架设的高危热点占到12%,其中在非运营商和政府提供的第三方热点中,带有攻击性的WiFi热点超过23%。在业内人士看来,实际情况或许更糟。

不仅有钓鱼还有寄生虫

发布这份调研报告的是上海安全团队袭雨团,团队负责人姚威对《IT时报》记者介绍,他们是通过人工携带、汽车安装4G路由器、MAC采集工具、WiFi安全测试器和黑盒攻击测试器等进行的测试。

此前,猎豹也曾发布类似报告,对全国各地8万个公共WiFi热点进行抽样调查,其中21%的公共WiFi热点存在安全风险。而今年3月360公司发布的 《2015中国WiFi安全绿皮书》中披露,国内80%的WiFi能在15分钟内被轻易破解,平均每天有约3.06%的WiFi会遭遇DNS劫持攻击,4.97%的WiFi会遭遇ARP攻击。

在这份报告中,有两组数据值得关注:在北京、上海和广州的测试公共区域中,官方提供的热点数量不足50%。其中,上海地区官方提供的热点数量占到采集热点总数的47.5%, 北京只有24%,广州地区这一比例更低;剩下超过一半的非官方热点中,具有明确攻击意图的寄生虫热点和钓鱼热点数量超过1/5。

除了之前被多次报道的钓鱼热点外,寄生虫热点、公然勒索信息热点首次出现在公众视野。根据袭雨团的调查,寄生虫热点在第三方热点中的比例高达14%。团队负责人姚威解释,寄生虫热点攻击正规WiFi热点,制造出虚假的登录页面,以此获取登录用户的个人信息。另一名安全人士介绍,寄生虫热点隐蔽性和欺骗性高,好比银行的ATM机上安装了读卡器。根据袭雨团在上海进行的调查,已经找到了存储用户信息的寄生虫热点。

另一种常见但不易被察觉的危险热点叫公然勒索信息热点,这也被定义为高危热点。用户在连入这些热点前,会被要求填写身份证、手机号等个人信息,并且无需密码就可以连上网络。而登录正规的WiFi热点时一般只需填写手机号,无需登记身份证信息。借助这种热点不法分子在短时间内就能获得大量用户信息。

非法WiFi能让iPhone变砖头

面对这么多高危热点,普通用户是否有能力判断? “目前唯一识别WiFi安全与否的有效方式就是基于坐标、设备MAC地址进行综合评判。”在无线安全研究团队RadioWar创始人营智敏看来,目前对于普通用户,很难从单一角度判断某个WiFi热点是否安全可靠。

根据袭雨团的报告,他们选取的检测地点大多集中在人口密集的商圈,包括在上海的陆家嘴、中山公园等23个测试点,在这些地区中有一批不设密码可直接连入的免费WiFi。同时,他们发现官方热点也很容易被“黑客”盯上,制造为寄生热点。

这些高危热点带来的风险超出想象,用户连接上后会面临账户泄露的危险。 “连接上这些WiFi后,虽然你没有在使用网银,但是网银类应用如果一直在后台运行,那你的账户就是危险的。”在营智敏看来,在不安全WiFi网络下,手机的App可能会被植入恶意程序,进而产生安全风险。

更可怕之处在于,用户手机中的邮件设置为非法WiFi的入侵提供了便利。用户可以打开自己的手机,进入设置-邮件—账户-高级选项,看看其中SSL选项是否打开?有研究人士发现,目前市面上销售的手机大部分移动端邮件服务默认关闭SSL。SSL的功能是在访问邮件服务前经过证书对比形成双向加密通道,打开SSL后邮箱自动提交的账号密码会以加密形势传输。若将SSL关闭,移动端的安全软件还没检测连入WiFi是否安全,邮箱就会自动提交账号密码,攻击者会就此得手。上述研究人士算了这样一笔账:“如果每个WiFi有五个用户连入,每个用户一个邮箱,至少有五个账号密码被泄露,若其中三个是Apple ID邮箱,就可能有三台iPhone被锁导致勒索,如果每台设备解锁勒索500元,最起码赚1500~4500元甚至更多。”

未来从何入手

姚威透露,他们目前正和相关部门商讨解决方案,希望能从热点实名制、热点管理责任制等方面入手,来完善目前公共WiFi管理上存在的空白。在技术操作层面,他们希望能鼓励更多公共WiFi提供商公布自己设备MAC地址作为安全软件比对的验证信息,这相当于每个公共WiFi会有一套指纹,进行识别。

在营智敏看来,对于普通用户来说,可以做的是不要过度依赖WiFi,并且在访问WiFi时,把不必要的服务、App及时关闭。

11月11日,记者实地在中山公园、人民广场等商圈实地体验,测试连接了十多个WiFi热点,发现近一半的WiFi是无需密码就可免费登录的WiFi热点。对于普通用户来说,类似无法明确来源的免费WiFi需要谨慎连入。


作者:章蔚玮

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
AcWing 66. 两个链表的第一个公共结点
AcWing 66. 两个链表的第一个公共结点
8 0
Spring5参考指南:依赖注入(二)
Spring5参考指南:依赖注入(二)
58 0
阿里HBase高可用8年“抗战”回忆录 | 11月5号栖夜读
今天的首篇文章,讲述了:2017年开始阿里HBase走向公有云,我们有计划的在逐步将阿里内部的高可用技术提供给外部客户,目前已经上线了同城主备,将作为我们后续高可用能力发展的一个基础平台。本文分四个部分回顾阿里HBase在高可用方面的发展:大集群、MTTF&MTTR、容灾、极致体验,希望能给大家带来一些共鸣和思考。
5115 0
面向SecDevOps七种武器
既然Sec、Dev、Ops 有着同样的目标,处理同样规模的问题,那么在工作中是否会Share相同的工具? 我们2009年开始写飞天第一行代码一刻起,就一直在经历和机器、系统、应用的搏斗过程。期间经历集群从70台增长到5000台过程,也经历了支撑W级用户背后的痛苦和摸索。
20455 0
关于公共类中常见的静态方法需要调用spring注入的非静态变量的解决方案
当你编写一个需要调用mybatis的dao层的类时,会先通过spring依赖注入该变量,但是由于你需要用到该变量在静态方法中,所以无法使用,此时你将该变量改为静态变量,发现无法注入了 解决方案: 需要一个私有静态类变量 DateUtils   @PostConstruct  会在spring依...
3513 0
一个base.css
/*!  * base v0.0.1  *  * name: xiaojia  * mail: iatt@qq.com  * date: 2012/12/5  */   html, body {  _background-image: url(about:blank);  _background-attachment: fixed; } body {  font:
1211 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
千里之外,洞悉风险
立即下载
千里之外,洞悉风险——网站安全即服务
立即下载
漏洞与数据的奇点临近
立即下载