■只要是遭遇釣魚WiFi，用戶上網(wǎng)過程中個(gè)人信息和密碼就都有可能被別有用心的黑客獲取

■一想到有可能連網(wǎng)銀的賬號(hào)和密碼都泄露，就不敢再用，在專業(yè)人士眼中，這種擔(dān)憂有些過慮

■造成用戶信息泄露并非WiFi設(shè)備惹禍，而是用戶貪便宜的心理和瀏覽器網(wǎng)絡(luò)傳輸協(xié)議有漏洞

■普通商家自行搭建的WiFi熱點(diǎn)大多使用民用級(jí)設(shè)備，有的甚至連密碼都沒有，給黑客留下機(jī)會(huì)

坐在星巴克的落地窗邊，杜瑞強(qiáng)沒有如常打開iPhone的WiFi開關(guān)，雖然每天下午來星巴克喝杯咖啡、順便蹭蹭網(wǎng)早已成為他的習(xí)慣。但就像窗外廣州陰霾的天氣一樣，此時(shí)他的心情正在為天涯論壇上一篇網(wǎng)帖而備感糾結(jié)。

這篇名為《有圖有真相，你還敢用UC上網(wǎng)嗎?》的帖子說，“在星巴克、麥當(dāng)勞，黑客只要用一臺(tái)筆記本、一套無線熱點(diǎn)和一個(gè)叫做Wireshark的軟件，最少只要15分鐘，就能獲取通過臨時(shí)無線網(wǎng)絡(luò)上網(wǎng)者的賬號(hào)和密碼。”

“雖然不知是真是假，但是聽起來真有點(diǎn)恐怖。”杜瑞強(qiáng)擔(dān)憂地說。

有著同樣憂慮的不止杜瑞強(qiáng)一人，自從上述網(wǎng)貼發(fā)布后，網(wǎng)絡(luò)上關(guān)于使用公共場(chǎng)所免費(fèi)WiFi上網(wǎng)究竟是否安全的討論激增，更多市民開始對(duì)公共場(chǎng)所WiFi上網(wǎng)的安全性問題予以高度關(guān)注。

公共免費(fèi)WiFi，上還是不上，一串串有關(guān)安全的追問隨之而來。

如何防范釣魚WiFi

天涯網(wǎng)帖的火爆傳播，讓釣魚WiFi臭名遠(yuǎn)揚(yáng)，也讓不少對(duì)于技術(shù)不太精通的用戶聞之生畏。有關(guān)專家指出，只要用戶增強(qiáng)主動(dòng)防范意識(shí)，并建立良好的WiFi使用習(xí)慣，就能夠防止墮入釣魚WiFi的陷阱。要想做到這一點(diǎn)，有些小技巧可以利用。

第一招 拒絕來源不明的WiFi

正如“妖妃娘娘”所披露的那樣，設(shè)置釣魚WiFi陷阱的黑客大多利用的是用戶想要免費(fèi)蹭網(wǎng)的占便宜心理。因此要想避免墮入類似陷阱，首先要做到的就是盡量不要使用來源不明的WiFi，尤其是免費(fèi)又不需密碼的WiFi。如果是在星巴克、麥當(dāng)勞這樣有商家提供免費(fèi)WiFi網(wǎng)絡(luò)的地方，用戶也要多留一個(gè)心眼，主動(dòng)向商家詢問其提供的WiFi的具體名稱，以免在選擇WiFi熱點(diǎn)接入時(shí)不小心連接到黑客搭建的名稱類似的釣魚WiFi。

第二招 及時(shí)更新升級(jí)瀏覽器

和傳統(tǒng)有線網(wǎng)絡(luò)相比，WiFi網(wǎng)絡(luò)環(huán)境下，用戶信息的安全性挑戰(zhàn)更多。用戶在使用非加密的WiFi網(wǎng)絡(luò)或者陌生的WiFi網(wǎng)絡(luò)時(shí)，最好提前在筆記本電腦或智能手機(jī)中安裝一些安全防范軟件以作提防。

針對(duì)最容易泄露用戶信息的瀏覽器軟件，用戶除了要在官方網(wǎng)站進(jìn)行下載的和安裝之外，還要養(yǎng)成定時(shí)更新升級(jí)的好習(xí)慣。例如此前提到的UC瀏覽器，其最新的版本就加入了連接到無密碼的WiFi網(wǎng)絡(luò)自動(dòng)提醒用戶是否要斷開的功能，這種功能升級(jí)對(duì)于用戶防范釣魚WiFi無疑會(huì)起到比較實(shí)用的效果。

使用瀏覽器登錄網(wǎng)站時(shí)，如果碰到需要用戶輸入賬戶名和密碼并彈出“是否記住密碼”選項(xiàng)框的情況，最好不要選擇“記住密碼”，因?yàn)椤坝涀∶艽a”功能會(huì)將用戶的賬號(hào)信息存儲(chǔ)到瀏覽器的緩存文件夾中，無形中方便了黑客進(jìn)行竊取。

第三招 手機(jī)軟件設(shè)置莫偷懶

針對(duì)智能手機(jī)用戶尤其需要提醒的是，在日常使用時(shí)最好關(guān)閉WiFi自動(dòng)連接這項(xiàng)功能。因?yàn)槿绻@項(xiàng)功能打開的話，手機(jī)在進(jìn)入有WiFi網(wǎng)絡(luò)的區(qū)域就會(huì)自動(dòng)掃描并連接上不設(shè)密碼的WiFi網(wǎng)絡(luò)，這無疑會(huì)大大增加用戶誤連釣魚WiFi的幾率，為了一時(shí)方便而留下安全隱患，未免有些得不償失。

另外，用戶在使用智能手機(jī)登錄手機(jī)銀行或者支付寶、財(cái)付通的金融服務(wù)類網(wǎng)站時(shí)，最好不要直接通過手機(jī)瀏覽器進(jìn)行，請(qǐng)優(yōu)先考慮使用銀行或者第三方支付公司推出的專用應(yīng)用程序，這些程序的安全性要比開放的手機(jī)瀏覽器高上不少。

安全進(jìn)化史

WiFi是一種短程無線傳輸技術(shù)，能夠在數(shù)百英尺范圍內(nèi)支持互聯(lián)網(wǎng)接入的無線電信號(hào)。隨著技術(shù)的發(fā)展，以及IEEE802.11a、802.11b、802.11g以及802.11n等標(biāo)準(zhǔn)的出現(xiàn)，現(xiàn)在IEEE802.11這個(gè)標(biāo)準(zhǔn)已被統(tǒng)稱作WiFi。

第二次世界大戰(zhàn)后，無線通訊因在軍事上應(yīng)用的成功而受到重視，但缺乏廣泛的通訊標(biāo)準(zhǔn)。于是，IEEE(美國(guó)電氣和電子工程師協(xié)會(huì))在1997年為無線局域網(wǎng)制定了第一個(gè)標(biāo)準(zhǔn)——IEEE802.11。IEEE 802.11標(biāo)準(zhǔn)最初主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶的無線接入，其業(yè)務(wù)主要限于數(shù)據(jù)存取，速率最高只能達(dá)到2Mbps。

在WiFi技術(shù)的發(fā)展過程中，除了傳輸速率不斷提升之外，安全加密技術(shù)的不斷增強(qiáng)也是其技術(shù)標(biāo)準(zhǔn)頻繁更新的重要原因。而最早進(jìn)入WiFi標(biāo)準(zhǔn)的加密技術(shù)名為WEP(Wired Equivalent Privacy，有線等效保密)，但由于該技術(shù)的加密功能過于脆弱，很快就被2003年和2004年推出的WPA(WiFi Protected Access，WiFi網(wǎng)絡(luò)安全存取)和WPA2技術(shù)所取代。

但即使是較新的WPA2加密技術(shù)，仍然在無線開放環(huán)境下存在安全性較弱、無法滿足電信級(jí)高可靠性要求等問題，為此，我國(guó)依據(jù)“商用密碼管理?xiàng)l例”制定了針對(duì)WiFi既有安全加密技術(shù)漏洞自主安全標(biāo)準(zhǔn)WAPI(Wireless LAN Authentication and Privacy Infrastructure，無線網(wǎng)絡(luò)鑒別保密基礎(chǔ)結(jié)構(gòu))。

2009年6月，工信部發(fā)布新政，宣布加裝WAPI功能的手機(jī)可入網(wǎng)檢測(cè)并獲進(jìn)網(wǎng)許可。當(dāng)月，包括美國(guó)代表在內(nèi)的參會(huì)成員一致同意，將WAPI作為無線局域網(wǎng)絡(luò)接入安全機(jī)制獨(dú)立標(biāo)準(zhǔn)形式推進(jìn)為國(guó)際標(biāo)準(zhǔn)。

追問1

釣魚WiFi竊取用戶密碼?

從技術(shù)角度來說，只要使用免費(fèi)WiFi上網(wǎng)，手機(jī)或者電腦都有可能被釣魚

在那篇引發(fā)公共WiFi安全性問題爭(zhēng)議的網(wǎng)帖中，名為“妖妃娘娘”的樓主詳細(xì)演示了如何用“Win7系統(tǒng)電腦、無線熱點(diǎn)和Wireshark軟件”竊取使用UC瀏覽器用戶個(gè)人信息和密碼的全過程。

“妖妃娘娘”稱，按照該教程，即使是初級(jí)黑客也只需要兩個(gè)小時(shí)，就能掌握如何在公共場(chǎng)所設(shè)置免費(fèi)WiFi來進(jìn)行釣魚，熟練后甚至僅需15分鐘就能夠輕松搞定使用UC瀏覽器上網(wǎng)用戶的密碼。而這其中的關(guān)鍵在于，UC瀏覽器本身存在安全漏洞，其所謂的“云加速”服務(wù)在傳輸用戶信息時(shí)使用了明文傳輸密碼，讓泄密成為了可能。

對(duì)于這份“釣魚WiFi”的詳細(xì)教程，很快就有熱心網(wǎng)友進(jìn)行了親身驗(yàn)證，結(jié)果證明在iPhone上使用版本號(hào)為8.2.1.132的UC瀏覽器，果真可以通過Wireshark軟件截取到登錄Gmail賬戶時(shí)輸入的賬號(hào)和密碼信息。

看完網(wǎng)友實(shí)證帖后，杜瑞強(qiáng)想起自己平時(shí)肆無忌憚地在星巴克蹭網(wǎng)，不由得有些后怕。

然而，這還不是讓公共WiFi安全性問題被徹底引爆的關(guān)鍵，在“妖妃娘娘”的網(wǎng)帖和隨后網(wǎng)友實(shí)證帖被廣泛傳開后，有關(guān)“釣魚WiFi”竊取他人信息和密碼的強(qiáng)大能力被越傳越神，“網(wǎng)銀密碼也能輕松搞定”等說法更是引起了眾多網(wǎng)友的強(qiáng)烈不安。

作為UC瀏覽器開發(fā)廠商——UC優(yōu)視公司對(duì)于這個(gè)問題并沒有太多回避。

該公司CEO俞永福直承，在前期某個(gè)版本的iPhone用UC瀏覽器上的確存在漏洞，但很快就推出了新版本的軟件加以改進(jìn)。不過他同時(shí)也表示，只要是遭遇“釣魚WiFi”，用戶上網(wǎng)過程中個(gè)人信息和密碼就都有可能被別有用心的黑客獲取，并非只有使用UC瀏覽器的用戶才會(huì)有這個(gè)風(fēng)險(xiǎn)。

“最大的問題其實(shí)是在我們目前網(wǎng)站建設(shè)上普遍采用的HTTP(Hypertext Transfer Protocol，超文本傳輸)協(xié)議本身的安全性較低。”俞永福的說法獲得了金山網(wǎng)絡(luò)安全專家李鐵軍的支持。

李鐵軍稱，從技術(shù)角度來說“妖妃娘娘”介紹的釣魚方法是可行的，但這并不止是手機(jī)瀏覽器的問題，只要使用免費(fèi)WiFi上網(wǎng)，手機(jī)或者電腦都有可能被釣魚，這種技術(shù)被業(yè)內(nèi)稱為“攻擊中間人”。

李鐵軍進(jìn)一步解釋，如果用戶使用黑客設(shè)置的釣魚WiFi上網(wǎng)，那么黑客使用相關(guān)軟件監(jiān)視并記錄用戶在網(wǎng)上進(jìn)行的所有操作信息，從中竊取有價(jià)值資料，比如QQ聊天記錄、郵件內(nèi)容等，“獲取網(wǎng)銀賬戶密碼的可能性較小，但也并不是完全沒有可能”。

追問2

用戶資料泄露漏洞在哪?

WiFi設(shè)備并沒有出現(xiàn)安全方面的問題，是人們?cè)鯓邮褂肳iFi上出了問題

雖然專家證明“釣魚WiFi”的確有可能導(dǎo)致用戶的個(gè)人信息泄露，但這究竟是WiFi網(wǎng)絡(luò)本身的問題還是其它方面的因素導(dǎo)致，這種泄露的后果究竟又會(huì)有多嚴(yán)重呢?

貝爾金公司技術(shù)工程師梁漢明認(rèn)為，釣魚WiFi引發(fā)的公共場(chǎng)所WiFi的安全性問題和WiFi本身的安全性問題，在本質(zhì)上是兩回事，前者更多的是人的問題，但后者則只是較為單純的設(shè)備問題。

“首先我們需要承認(rèn)WiFi設(shè)備是有一定技術(shù)漏洞，這種情況在各種高科技產(chǎn)品和服務(wù)中都存在，就像Windows系統(tǒng)市場(chǎng)多次爆出安全漏洞，美國(guó)五角大樓也曾經(jīng)被黑客攻破一樣，網(wǎng)絡(luò)設(shè)備和服務(wù)安全性雖然一直都在提升中，但誰(shuí)也不敢保證萬無一失。”梁漢明說，2011年WiFi設(shè)備就曾經(jīng)爆出過WPS(WiFi保護(hù)設(shè)置)協(xié)議的漏洞，黑客只要用密碼窮舉法(使用計(jì)算能力強(qiáng)大的設(shè)備將的所有有可能性的密碼排列組合都嘗試一遍)暴力破解，能夠完全攻破WiFi設(shè)備的安全防護(hù)。“但這樣做不僅需要專業(yè)的設(shè)備，還需要精通相關(guān)安全協(xié)議的知識(shí)，并非一般黑客能做到的，即使能做到，也往往要花上幾天的時(shí)間。”

但釣魚WiFi的情況顯然完全不同，“妖妃娘娘”稱最短只需要15分鐘就能搞定用戶的賬號(hào)和密碼。“這是因?yàn)樗旧砭褪窃O(shè)置了一個(gè)人為的陷阱，他攻克的本來就不是WiFi設(shè)備的安全防護(hù)，而是網(wǎng)絡(luò)瀏覽器的軟件漏洞，或者說是網(wǎng)絡(luò)傳輸協(xié)議的漏洞。”梁漢明解釋道，在這整個(gè)過程中，WiFi設(shè)備其實(shí)扮演的只是數(shù)據(jù)傳輸通道的角色，造成用戶信息的泄露并非“WiFi設(shè)備惹的禍”，而是用戶貪便宜的心理和網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)傳輸協(xié)議的軟件漏洞。“在這件事上WiFi設(shè)備并沒有出現(xiàn)安全方面的問題，是人們?cè)鯓邮褂肳iFi上出了問題。”

不過無論是哪個(gè)環(huán)節(jié)出了問題，遭遇釣魚WiFi有可能導(dǎo)致用戶信息泄露的風(fēng)險(xiǎn)卻是真實(shí)存在，僅這一點(diǎn)，就足夠讓杜瑞強(qiáng)這樣的網(wǎng)絡(luò)用戶憂心忡忡：“一想到有可能連網(wǎng)銀的賬號(hào)和密碼都泄露，就不敢再用了!”但在專業(yè)人士眼中，這種擔(dān)憂顯得有些過慮。

廣東發(fā)展銀行陳捷表示，目前絕大部分網(wǎng)絡(luò)銀行都已經(jīng)在頁(yè)面上加入了安全控件的技術(shù)，而且登錄頁(yè)面也多是采用了HTTPS(超文本傳輸安全協(xié)議，Hypertext Transfer Protocol Secure)技術(shù)，在終端和服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸時(shí)采用的是密文形式，使用WireShark之類的軟件是無法截取的。

支付寶公司朱建稱，目前網(wǎng)絡(luò)第三方支付賬戶的登錄和使用也大多采用手機(jī)賬號(hào)綁定或者數(shù)字證書認(rèn)證等技術(shù)，即使黑客通過“釣魚WiFi”獲得了賬戶和密碼，在沒有相關(guān)數(shù)字證書和綁定賬號(hào)的手機(jī)短信認(rèn)證的情況下，也是無法對(duì)賬戶資金進(jìn)行調(diào)動(dòng)的。

追問3

免費(fèi)公共WiFi還能用嗎?

不少運(yùn)營(yíng)商都提供免費(fèi)WiFi，市民在公共場(chǎng)所最好選擇運(yùn)營(yíng)商提供的WiFi

釣魚WiFi被曝光后，在引發(fā)人們對(duì)WiFi安全性再檢討的同時(shí)，也讓不少人對(duì)于是否應(yīng)該繼續(xù)在公共場(chǎng)所接入WiFi網(wǎng)絡(luò)產(chǎn)生了懷疑。

媒體人士潘少文平日經(jīng)常在機(jī)場(chǎng)、酒店等公共場(chǎng)所利用免費(fèi)WiFi工作，現(xiàn)在正考慮買一個(gè)3G上網(wǎng)卡。

潘少文的顧慮并非杞人憂天。專門為中國(guó)移動(dòng)提供WiFi設(shè)備專業(yè)建設(shè)和維護(hù)服務(wù)工作的夏侯宇表示，目前公共場(chǎng)所的WiFi主要分為兩種，一種是有電信運(yùn)營(yíng)商提供的WiFi熱點(diǎn)，另一種則是商家為招徠客戶自行搭建的WiFi。

“這兩種WiFi在技術(shù)上是有著很大差距的。運(yùn)營(yíng)商提供的公共WiFi網(wǎng)絡(luò)無論是否免費(fèi)，都是采用電信運(yùn)營(yíng)級(jí)的網(wǎng)絡(luò)設(shè)備，性能穩(wěn)定。運(yùn)營(yíng)商在WiFi組網(wǎng)時(shí)都會(huì)部署多種安全措施，例如連接上WiFi后要想上網(wǎng)還需要通過身份認(rèn)證、或是要求使用專用的客戶端軟件等，在后臺(tái)服務(wù)器端，運(yùn)營(yíng)商往往還會(huì)提供24小時(shí)的監(jiān)控。”

夏侯宇稱，普通商家自行搭建的WiFi熱點(diǎn)則大多使用民用級(jí)WiFi設(shè)備，“其實(shí)就是家庭用戶的普通無線路由器，而且后臺(tái)也沒有進(jìn)行專門的安全性設(shè)置，有的甚至連密碼都沒有，這就給黑客留下了乘虛而入的機(jī)會(huì)。”

作為行業(yè)人士，夏侯宇個(gè)人建議，市民在公共場(chǎng)所最好優(yōu)先選擇運(yùn)營(yíng)商提供的WiFi。“目前不少運(yùn)營(yíng)商都針對(duì)其自身的用戶提供免費(fèi)的WiFi使用時(shí)長(zhǎng)，充分利用這種優(yōu)惠可以讓用戶在省錢的前提下享受到安全性更有保障的WiFi服務(wù)。”

據(jù)了解，目前僅中國(guó)電信在廣東地區(qū)就已經(jīng)建設(shè)了超過5萬個(gè)WiFi熱點(diǎn)，主要分布在校園、酒店、賓館、機(jī)場(chǎng)、火車站等交通樞紐、大型購(gòu)物廣場(chǎng)、商務(wù)樓宇等七類公共場(chǎng)所，今年其還將新建2萬個(gè)WiFi熱點(diǎn)，使得省內(nèi)WiFi熱點(diǎn)數(shù)量達(dá)到7萬個(gè)的水平。而中國(guó)移動(dòng)今年在廣東也提出了新增1.7萬個(gè)WiFi熱點(diǎn)的建設(shè)計(jì)劃，預(yù)計(jì)到年底其WiFi熱點(diǎn)總數(shù)將達(dá)4.2萬個(gè)。

行業(yè)分析人士楊群表示，隨著未來運(yùn)營(yíng)商之間競(jìng)爭(zhēng)的加劇，這種由運(yùn)營(yíng)商搭建的公共場(chǎng)所WiFi熱點(diǎn)規(guī)模還有可能進(jìn)一步擴(kuò)大，而且免費(fèi)的也會(huì)越來越多。