非正规公共热点中超两成存风险：蹭网需谨慎

WiFi网络安全问题一直引人关注，在今年央视3.15晚会上，网络工程师演示了钓鱼WiFi是如何窃取用户信息的。直接为攻击而架设的高危热点占到12%，其中在非运营商和政府提供的第三方热点中，带有攻击性的Wi-Fi热点超过23%。业内人士称，实际情况或许更糟。除了之前被多次报道的钓鱼热点外，寄生虫热点、公然勒索信息热点首次出现在公众视野。

“寄生虫”WiFi破坏性强 千万别乱蹭网 非官网公共热点中超两成存在安全风险

WiFi网络安全问题一直引人关注，在今年央视3.15晚会上，网络工程师演示了钓鱼WiFi是如何窃取用户信息的。近日，公共WiFi的问题再度引起外界关注，一份名为《中国一线城市WiFi安全与潜在威胁调查研究报告》中称，在北京、上海、广州三地采集的近7万个WiFi热点中，直接为攻击而架设的高危热点占到12%，其中在非运营商和政府提供的第三方热点中，带有攻击性的WiFi热点超过23%。在业内人士看来，实际情况或许更糟。

不仅有钓鱼还有寄生虫

发布这份调研报告的是上海安全团队袭雨团，团队负责人姚威对《IT时报》记者介绍，他们是通过人工携带、汽车安装4G路由器、MAC采集工具、WiFi安全测试器和黑盒攻击测试器等进行的测试。

此前，猎豹也曾发布类似报告，对全国各地8万个公共WiFi热点进行抽样调查，其中21%的公共WiFi热点存在安全风险。而今年3月360公司发布的 《2015中国WiFi安全绿皮书》中披露，国内80%的WiFi能在15分钟内被轻易破解，平均每天有约3.06%的WiFi会遭遇DNS劫持攻击，4.97%的WiFi会遭遇ARP攻击。

在这份报告中，有两组数据值得关注：在北京、上海和广州的测试公共区域中，官方提供的热点数量不足50%。其中，上海地区官方提供的热点数量占到采集热点总数的47.5%， 北京只有24%，广州地区这一比例更低;剩下超过一半的非官方热点中，具有明确攻击意图的寄生虫热点和钓鱼热点数量超过1/5。

除了之前被多次报道的钓鱼热点外，寄生虫热点、公然勒索信息热点首次出现在公众视野。根据袭雨团的调查，寄生虫热点在第三方热点中的比例高达14%。团队负责人姚威解释，寄生虫热点攻击正规WiFi热点，制造出虚假的登录页面，以此获取登录用户的个人信息。另一名安全人士介绍，寄生虫热点隐蔽性和欺骗性高，好比银行的ATM机上安装了读卡器。根据袭雨团在上海进行的调查，已经找到了存储用户信息的寄生虫热点。

另一种常见但不易被察觉的危险热点叫公然勒索信息热点，这也被定义为高危热点。用户在连入这些热点前，会被要求填写身份证、手机号等个人信息，并且无需密码就可以连上网络。而登录正规的WiFi热点时一般只需填写手机号，无需登记身份证信息。借助这种热点不法分子在短时间内就能获得大量用户信息。

非法WiFi能让iPhone变砖头

面对这么多高危热点，普通用户是否有能力判断? “目前唯一识别WiFi安全与否的有效方式就是基于坐标、设备MAC地址进行综合评判。”在无线安全研究团队RadioWar创始人营智敏看来，目前对于普通用户，很难从单一角度判断某个WiFi热点是否安全可靠。

根据袭雨团的报告，他们选取的检测地点大多集中在人口密集的商圈，包括在上海的陆家嘴、中山公园等23个测试点，在这些地区中有一批不设密码可直接连入的免费WiFi。同时，他们发现官方热点也很容易被“黑客”盯上，制造为寄生热点。

这些高危热点带来的风险超出想象，用户连接上后会面临账户泄露的危险。 “连接上这些WiFi后，虽然你没有在使用网银，但是网银类应用如果一直在后台运行，那你的账户就是危险的。”在营智敏看来，在不安全WiFi网络下，手机的App可能会被植入恶意程序，进而产生安全风险。

更可怕之处在于，用户手机中的邮件设置为非法WiFi的入侵提供了便利。用户可以打开自己的手机，进入设置-邮件—账户-高级选项，看看其中SSL选项是否打开?有研究人士发现，目前市面上销售的手机大部分移动端邮件服务默认关闭SSL。SSL的功能是在访问邮件服务前经过证书对比形成双向加密通道，打开SSL后邮箱自动提交的账号密码会以加密形势传输。若将SSL关闭，移动端的安全软件还没检测连入WiFi是否安全，邮箱就会自动提交账号密码，攻击者会就此得手。上述研究人士算了这样一笔账：“如果每个WiFi有五个用户连入，每个用户一个邮箱，至少有五个账号密码被泄露，若其中三个是Apple ID邮箱，就可能有三台iPhone被锁导致勒索，如果每台设备解锁勒索500元，最起码赚1500～4500元甚至更多。”

未来从何入手

姚威透露，他们目前正和相关部门商讨解决方案，希望能从热点实名制、热点管理责任制等方面入手，来完善目前公共WiFi管理上存在的空白。在技术操作层面，他们希望能鼓励更多公共WiFi提供商公布自己设备MAC地址作为安全软件比对的验证信息，这相当于每个公共WiFi会有一套指纹，进行识别。

在营智敏看来，对于普通用户来说，可以做的是不要过度依赖WiFi，并且在访问WiFi时，把不必要的服务、App及时关闭。

11月11日，记者实地在中山公园、人民广场等商圈实地体验，测试连接了十多个WiFi热点，发现近一半的WiFi是无需密码就可免费登录的WiFi热点。对于普通用户来说，类似无法明确来源的免费WiFi需要谨慎连入。

作者：章蔚玮

来源：51CTO