开发者社区> 云栖大讲堂> 正文

非正规公共热点中超两成存风险:蹭网需谨慎

简介:
+关注继续查看

WiFi网络安全问题一直引人关注,在今年央视3.15晚会上,网络工程师演示了钓鱼WiFi是如何窃取用户信息的。直接为攻击而架设的高危热点占到12%,其中在非运营商和政府提供的第三方热点中,带有攻击性的Wi-Fi热点超过23%。业内人士称,实际情况或许更糟。除了之前被多次报道的钓鱼热点外,寄生虫热点、公然勒索信息热点首次出现在公众视野。

非正规公共热点中超两成存风险:蹭网需谨慎

“寄生虫”WiFi破坏性强 千万别乱蹭网 非官网公共热点中超两成存在安全风险

WiFi网络安全问题一直引人关注,在今年央视3.15晚会上,网络工程师演示了钓鱼WiFi是如何窃取用户信息的。近日,公共WiFi的问题再度引起外界关注,一份名为《中国一线城市WiFi安全与潜在威胁调查研究报告》中称,在北京、上海、广州三地采集的近7万个WiFi热点中,直接为攻击而架设的高危热点占到12%,其中在非运营商和政府提供的第三方热点中,带有攻击性的WiFi热点超过23%。在业内人士看来,实际情况或许更糟。

不仅有钓鱼还有寄生虫

发布这份调研报告的是上海安全团队袭雨团,团队负责人姚威对《IT时报》记者介绍,他们是通过人工携带、汽车安装4G路由器、MAC采集工具、WiFi安全测试器和黑盒攻击测试器等进行的测试。

此前,猎豹也曾发布类似报告,对全国各地8万个公共WiFi热点进行抽样调查,其中21%的公共WiFi热点存在安全风险。而今年3月360公司发布的 《2015中国WiFi安全绿皮书》中披露,国内80%的WiFi能在15分钟内被轻易破解,平均每天有约3.06%的WiFi会遭遇DNS劫持攻击,4.97%的WiFi会遭遇ARP攻击。

在这份报告中,有两组数据值得关注:在北京、上海和广州的测试公共区域中,官方提供的热点数量不足50%。其中,上海地区官方提供的热点数量占到采集热点总数的47.5%, 北京只有24%,广州地区这一比例更低;剩下超过一半的非官方热点中,具有明确攻击意图的寄生虫热点和钓鱼热点数量超过1/5。

除了之前被多次报道的钓鱼热点外,寄生虫热点、公然勒索信息热点首次出现在公众视野。根据袭雨团的调查,寄生虫热点在第三方热点中的比例高达14%。团队负责人姚威解释,寄生虫热点攻击正规WiFi热点,制造出虚假的登录页面,以此获取登录用户的个人信息。另一名安全人士介绍,寄生虫热点隐蔽性和欺骗性高,好比银行的ATM机上安装了读卡器。根据袭雨团在上海进行的调查,已经找到了存储用户信息的寄生虫热点。

另一种常见但不易被察觉的危险热点叫公然勒索信息热点,这也被定义为高危热点。用户在连入这些热点前,会被要求填写身份证、手机号等个人信息,并且无需密码就可以连上网络。而登录正规的WiFi热点时一般只需填写手机号,无需登记身份证信息。借助这种热点不法分子在短时间内就能获得大量用户信息。

非法WiFi能让iPhone变砖头

面对这么多高危热点,普通用户是否有能力判断? “目前唯一识别WiFi安全与否的有效方式就是基于坐标、设备MAC地址进行综合评判。”在无线安全研究团队RadioWar创始人营智敏看来,目前对于普通用户,很难从单一角度判断某个WiFi热点是否安全可靠。

根据袭雨团的报告,他们选取的检测地点大多集中在人口密集的商圈,包括在上海的陆家嘴、中山公园等23个测试点,在这些地区中有一批不设密码可直接连入的免费WiFi。同时,他们发现官方热点也很容易被“黑客”盯上,制造为寄生热点。

这些高危热点带来的风险超出想象,用户连接上后会面临账户泄露的危险。 “连接上这些WiFi后,虽然你没有在使用网银,但是网银类应用如果一直在后台运行,那你的账户就是危险的。”在营智敏看来,在不安全WiFi网络下,手机的App可能会被植入恶意程序,进而产生安全风险。

更可怕之处在于,用户手机中的邮件设置为非法WiFi的入侵提供了便利。用户可以打开自己的手机,进入设置-邮件—账户-高级选项,看看其中SSL选项是否打开?有研究人士发现,目前市面上销售的手机大部分移动端邮件服务默认关闭SSL。SSL的功能是在访问邮件服务前经过证书对比形成双向加密通道,打开SSL后邮箱自动提交的账号密码会以加密形势传输。若将SSL关闭,移动端的安全软件还没检测连入WiFi是否安全,邮箱就会自动提交账号密码,攻击者会就此得手。上述研究人士算了这样一笔账:“如果每个WiFi有五个用户连入,每个用户一个邮箱,至少有五个账号密码被泄露,若其中三个是Apple ID邮箱,就可能有三台iPhone被锁导致勒索,如果每台设备解锁勒索500元,最起码赚1500~4500元甚至更多。”

未来从何入手

姚威透露,他们目前正和相关部门商讨解决方案,希望能从热点实名制、热点管理责任制等方面入手,来完善目前公共WiFi管理上存在的空白。在技术操作层面,他们希望能鼓励更多公共WiFi提供商公布自己设备MAC地址作为安全软件比对的验证信息,这相当于每个公共WiFi会有一套指纹,进行识别。

在营智敏看来,对于普通用户来说,可以做的是不要过度依赖WiFi,并且在访问WiFi时,把不必要的服务、App及时关闭。

11月11日,记者实地在中山公园、人民广场等商圈实地体验,测试连接了十多个WiFi热点,发现近一半的WiFi是无需密码就可免费登录的WiFi热点。对于普通用户来说,类似无法明确来源的免费WiFi需要谨慎连入。


作者:章蔚玮

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
2022!影响百万用户金融信用评分,Equifax被告上法庭,罪魁祸首——『数据漂移』!⛵
数据随着时间变化,会导致已有模型的准确度大打折扣,这就是数据漂移问题。本文讲解数据漂移问题的诸多实际案例、检测方法、基于evidently库的代码实现。
545 0
五项措施,让阿里云存储更安全
数字经济时代,数据正在成为重要的资源,甚至是资产,而云则是存储、管理、利用、保护这些资产的重要基础设施。如何保障数据的安全性,进而保障业务的连续性成为云所要解决的关键问题之一。
962 0
传统媒体上线,如何安放海量内容?如何处理安全问题?
传统媒体上线,如何安放海量内容? 传媒行业由纸媒转向视频图片类(短视频,直播),需要面临海量存储,加速访问的问题。此外,媒体内容多而杂,整理起来太困难,怎么办? 山东云管家推荐你使用阿里云的几个工具,轻松解决上线难题。
2289 0
天公不作美怎么破?墨迹天气帮你降低业务风险
天气要素在市场环境中一直扮演着非常重要的角色,各行各业中,天气都有着非常重要的影响。对于企业来说,需要充分认知天气的重要性,以及极端天气带来的危害,提高抵御风险能力,尤其是天气敏感行业企业,可通过提前感知天气来降低风险,提高收益。
4632 0
多地iPhone用户遭盗刷 企业数据泄露的结无解?
对于企业来说,大数据在如今已经是必不可少的一项技术。不管是大型科技互联网公司,还是线下消费实体店,社会各行各业都已进入大数据时代。 然而就在大数据快速发展的这几年,国内外涉及数据安全与个人隐私的舆情事件不断发生,涉及人们衣食住行的隐私泄露案频出。
1329 0
真实版“张交通”复盘:我如何怼出泄漏个人信息的元凶
本文讲的是真实版“张交通”复盘:我如何怼出泄漏个人信息的元凶,这是《网络安全法》生效后,个人用户的首个实用型技巧福利。
1454 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
[罗兰贝格]详解大变局时代消费者高速增长逻辑:存量博弈,步步为赢
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载