WiFi免費(fèi)上網(wǎng)：是“餡餅”還是“陷阱”？

　　近日，某黑客在網(wǎng)上自曝：在星巴克、麥當(dāng)勞等提供免費(fèi)WiFi的公共場(chǎng)合，用一臺(tái)Win7系統(tǒng)電腦、一個(gè)網(wǎng)絡(luò)包分析軟件等，15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個(gè)人信息和密碼。

　　個(gè)人可自行架設(shè)WiFi熱點(diǎn)

　　在免費(fèi)提供WiFi的公共場(chǎng)所，不少顧客會(huì)用筆記本和手機(jī)上網(wǎng)。但是黑客也盯上了免費(fèi)WiFi龐大的用戶群體。黑客是否如網(wǎng)上傳言能夠通過簡(jiǎn)單的設(shè)備架設(shè)虛假的免費(fèi)WiFi熱點(diǎn)，進(jìn)而盜取私人信息數(shù)據(jù)？

　　對(duì)此，北京郵電大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室主任崔寶江副教授介紹道，黑客確實(shí)可以通過網(wǎng)卡功能配置或者安裝第三方軟件，將電腦配置成一個(gè)用于釣魚的無(wú)線AP，通過設(shè)置具有迷惑性的無(wú)線AP標(biāo)識(shí)，誘使用戶在提供免費(fèi)WiFi的公共場(chǎng)合上網(wǎng)時(shí)，錯(cuò)登錄到釣魚無(wú)線AP中，進(jìn)而捕獲用戶上網(wǎng)的所有網(wǎng)絡(luò)數(shù)據(jù)。通過數(shù)據(jù)包嗅探分析軟件，則可對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包解析出其上網(wǎng)的內(nèi)容信息。如果上網(wǎng)的數(shù)據(jù)包中包含明文的個(gè)人信息，例如登錄的賬號(hào)和口令等，那么這些明文信息便可被黑客獲取。“釣魚的無(wú)線接入AP，它的名稱可能和免費(fèi)WiFi站點(diǎn)的名稱很相似，容易迷惑人，例如Starbucks2、KFC1等。”

　　“個(gè)人自行架設(shè)WiFi熱點(diǎn)，現(xiàn)在的筆記本基本都可以實(shí)現(xiàn)，通過自己的無(wú)線網(wǎng)卡或者無(wú)線路由器均可以架設(shè)。”前奇虎360殺毒中心工作人員、資深反病毒工作者李云告訴筆者，局域網(wǎng)欺騙或者偽造熱點(diǎn)都可以將自己的代碼嵌入數(shù)據(jù)包中，再返回給請(qǐng)求者，導(dǎo)致用戶訪問惡意網(wǎng)頁(yè)或者執(zhí)行惡意代碼。“比較常見的攻擊是在網(wǎng)站傳輸客戶數(shù)據(jù)時(shí)，攻擊者會(huì)嘗試監(jiān)聽或嗅探傳輸中的數(shù)據(jù)。比如獲取用戶的某些卡號(hào)之后，對(duì)用戶訪問的其它站點(diǎn)的數(shù)據(jù)包進(jìn)行嗅探，竊取生日、其他敏感卡號(hào)及字母組合。”

　　竊取用戶信息并不容易

　　公共場(chǎng)所存在釣魚性質(zhì)的虛假免費(fèi)WiFi熱點(diǎn)新聞曝光后，有些市民不禁開始擔(dān)憂，在公共場(chǎng)所通過WiFi上網(wǎng)還有安全保障嗎？如若進(jìn)行日常網(wǎng)上銀行交易會(huì)不會(huì)存在泄密風(fēng)險(xiǎn)，甚至造成經(jīng)濟(jì)損失？

　　雖然黑客可通過設(shè)置虛假免費(fèi)WiFi熱點(diǎn)“引君入甕”，但奇虎360公司軟件工程師孫誠(chéng)同時(shí)也指出，“這條流言有部分是夸大的。這個(gè)黑客確實(shí)建立了一個(gè)免費(fèi)未加密的WiFi網(wǎng)絡(luò)讓用戶接入，之后使用嗅探工具將無(wú)線網(wǎng)卡設(shè)置為混雜模式，從而截獲到網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)。但這里是利用了某手機(jī)瀏覽器的漏洞，如果這個(gè)漏洞不存在，數(shù)據(jù)傳輸過程中也使用了SSL進(jìn)行加密，竊取用戶網(wǎng)銀賬號(hào)和密碼也是非常困難的。”

　　針對(duì)網(wǎng)上銀行交易等行為，崔寶江指出，如果用戶上網(wǎng)的網(wǎng)站不支持加密的上網(wǎng)數(shù)據(jù)傳輸功能，則明文的個(gè)人信息就可能泄密。黑客如果將用戶導(dǎo)向到自己建立的釣魚網(wǎng)站，并誘使用戶輸入賬號(hào)和密碼登錄釣魚網(wǎng)站，那么用戶的網(wǎng)銀安全就沒有保證了。

　　“但是網(wǎng)銀和某些大型正規(guī)網(wǎng)站需要輸入賬號(hào)密碼的登錄過程都是加密的，并不容易被破解。” 他表示，用數(shù)碼設(shè)備和手機(jī)登錄正確的個(gè)人網(wǎng)上銀行網(wǎng)址進(jìn)行交易，安全是有保障的。個(gè)人網(wǎng)上銀行會(huì)采用SSL等加密協(xié)議來保障交易安全，網(wǎng)址中的協(xié)議名稱顯示為https，結(jié)尾比常見的http多了s。這說明通過這個(gè)頁(yè)面輸入并傳送的數(shù)據(jù)，會(huì)被基于SSL協(xié)議協(xié)商的會(huì)話密鑰進(jìn)行加密，即使這些加密數(shù)據(jù)被黑客盜取，也很難破解。“所以，黑客難以通過釣魚AP的方法獲取用戶的銀行賬號(hào)密碼。除非黑客在用戶的計(jì)算機(jī)中植入了木馬，黑客才可通過木馬偷取用戶的銀行賬號(hào)密碼。”

　　李云也認(rèn)為，關(guān)于黑客15分鐘便能通過架設(shè)免費(fèi)WiFi熱點(diǎn)竊取信息的報(bào)道只是個(gè)例。“要在短時(shí)間內(nèi)竊取數(shù)據(jù)存在著相當(dāng)?shù)碾y度。”據(jù)李云介紹，大部分無(wú)線嗅探及解密行為，是使用類似入侵檢測(cè)操作系統(tǒng)及網(wǎng)絡(luò)封包分析軟件進(jìn)行數(shù)據(jù)包截取，經(jīng)解密后進(jìn)行用戶名及密碼的獲取。而這種行為一般需要被動(dòng)監(jiān)聽時(shí)間較多，其破解速度由必須的數(shù)據(jù)包和密碼字典大小決定，為了解密則必須抓取大量數(shù)據(jù)包，這通常需要很長(zhǎng)時(shí)間。“可能在沒有獲取到有價(jià)值信息之前，用戶已經(jīng)離開了這個(gè)監(jiān)聽范圍。”

　　防“李鬼”需提高安全意識(shí)

　　目前，北京市不少公眾場(chǎng)所的免費(fèi)WiFi賬號(hào)密碼都已在網(wǎng)上公布，而在免費(fèi)供應(yīng)地內(nèi)搜索到賬號(hào)需要索取密碼時(shí)，也可直接向工作人員索要。雖然如此，卻也不乏市民習(xí)慣性搜索到無(wú)需密碼的免費(fèi)WiFi后，直接聯(lián)網(wǎng)進(jìn)行網(wǎng)上活動(dòng)的現(xiàn)象。

　　“用戶連接加密的WiFi網(wǎng)絡(luò)，會(huì)需要輸入密碼，如果用戶沒有輸入密碼就可以連接到一個(gè)WiFi網(wǎng)絡(luò)并且可以訪問互聯(lián)網(wǎng)，這時(shí)就要注意了，可能連接的WiFi網(wǎng)絡(luò)會(huì)有問題。”孫誠(chéng)指出，想破解使用SSL協(xié)議加密傳輸?shù)臄?shù)據(jù)其實(shí)比較困難，因此一般黑客會(huì)采用證書欺騙的方法，但假的證書在瀏覽器上都會(huì)給出安全提示，用戶只要不去訪問就可以了。

　　他認(rèn)為，“李鬼”WiFi的危害程度需要從用戶的安全使用習(xí)慣和網(wǎng)絡(luò)應(yīng)用的安全性兩方面去考慮。用戶在使用公共網(wǎng)絡(luò)時(shí)要盡量開啟ARP防火墻，并且要連接加密的WiFi網(wǎng)絡(luò)。而應(yīng)用程序和網(wǎng)站更要提供對(duì)一些涉及到用戶隱私的數(shù)據(jù)進(jìn)行加密傳輸，在產(chǎn)品設(shè)計(jì)上一定要將安全擺在第一位。

　　崔寶江建議，為了預(yù)防因登錄假WiFi站點(diǎn)或者釣魚的WiFi站點(diǎn)造成用戶隱私泄露，在公共場(chǎng)所上網(wǎng)的用戶，需主動(dòng)了解商家或運(yùn)營(yíng)商WiFi無(wú)線接入點(diǎn)AP的正確站點(diǎn)名稱和登錄密碼，并且選擇合法和正規(guī)網(wǎng)站進(jìn)行互聯(lián)網(wǎng)信息獲取。（實(shí)習(xí)生 楊艷）