釣魚軟件成公共Wi-Fi最大威脅 保障安全需多方協(xié)作

責(zé)任編輯:editor007

作者:刁興玲

2015-03-30 16:44:44

摘自:通信世界周刊

隨時隨地搜索免費Wi-Fi已然成為用戶的習(xí)慣,在享受Wi-Fi帶來便利的同時,用戶很少關(guān)注免費Wi-Fi上網(wǎng)的安全問題,由此而引發(fā)的Wi-Fi釣魚、盜取賬號、竊取隱私甚至盜刷銀行卡的事件時有發(fā)生。

隨時隨地搜索免費Wi-Fi已然成為用戶的習(xí)慣,在享受Wi-Fi帶來便利的同時,用戶很少關(guān)注免費Wi-Fi上網(wǎng)的安全問題,由此而引發(fā)的Wi-Fi釣魚、盜取賬號、竊取隱私甚至盜刷銀行卡的事件時有發(fā)生。

在今年的“3·15”晚會上,央視對公共Wi-Fi的安全問題進(jìn)行了曝光,現(xiàn)場互動說明在公共Wi-Fi環(huán)境下,黑客竊取用戶的個人信息輕而易舉。

Wi-Fi安全威脅源自多種原因

公共Wi-Fi網(wǎng)絡(luò)安全保障為何如此脆弱?中國信息通信研究院信息通信安全研究所副所長魏亮對這一問題做了解讀。他認(rèn)為,諸多元素導(dǎo)致了公共Wi-Fi安全問題的產(chǎn)生。首先,Wi-Fi是無線接入,設(shè)計之初未過多考慮安全問題,與有線接入相比有天然的劣勢(蜂窩通信主要用于個人話音通信,在設(shè)計之初對安全有一定考慮);第二,公共Wi-Fi一般提供免費接入,接入提供者缺乏安全方面的經(jīng)驗;第三,出于成本考慮,公共Wi-Fi接入的AP設(shè)備大量使用共享代碼,對被攻擊、后門、漏洞等安全問題考慮不足;此外,互聯(lián)網(wǎng)安全問題具有短板效應(yīng),而Wi-Fi接入堪稱最容易被黑客攻擊的短板。

除此之外,移動終端發(fā)展時間較短,整個生態(tài)系統(tǒng)并不健全,尤其是用戶安全意識淡薄,這些也是公共Wi-Fi安全威脅無處不在的重要原因。中國人民公安大學(xué)警務(wù)信息工程學(xué)院院長李欣表示:“Wi-Fi演進(jìn)過程是性能不斷提升、安全不斷加固的過程,用戶在使用Wi-Fi時不關(guān)心Wi-Fi安全問題,大多數(shù)還延續(xù)舊的不安全配置,從而導(dǎo)致安全問題層出不窮。”另外,“Wi-Fi技術(shù)認(rèn)證過程大部分是單向認(rèn)證的,即AP認(rèn)證用戶。”如此一來,黑客只要知道AP的名稱、用戶名和密碼這三個因素,設(shè)置釣魚Wi-Fi盜取用戶信息就很簡單。

竊取個人密碼方式眾多

在“3·15”晚會現(xiàn)場互動中,主持人邀請現(xiàn)場觀眾連接免費的公共Wi-Fi上傳自拍照,不過幾分鐘的時間,后臺扮演“黑客”的工程師就截獲了幾百位現(xiàn)場觀眾的自拍照,同時這些用戶經(jīng)常登錄的郵箱名稱和密碼也被公布在大屏幕上。公共Wi-Fi網(wǎng)絡(luò)的安全問題伴隨“商用Wi-Fi”的崛起,一直備受詬病。

黑客竊取公共Wi-Fi的密碼的方式眾多。魏亮表示:Wi-Fi密碼過于簡單,容易被破解;AP設(shè)備使用缺省管理員密碼、存在后門、漏洞或者通用密碼,都會導(dǎo)致惡意人員控制AP任意截取信息、更改DNS等;惡意人員直接從空口獲取信息;AP設(shè)備管理員密碼過于簡單,導(dǎo)致惡意人員控制AP任意截取信息、更改DNS等,都是黑客竊取公共Wi-Fi密碼的常用方式。

魏亮還提醒用戶:“一般虛假AP會把網(wǎng)絡(luò)名稱設(shè)置成讓用戶誤以為信任的服務(wù)提供者,例如,在星巴克附近設(shè)置Star-Buck-1,或者CMCC-2等。惡意設(shè)置專門竊取用戶信息的AP(正常AP被黑客控制以后安全風(fēng)險也等同于專門竊取用戶信息的AP)是免費公共Wi-Fi最大的危險。”

為了防止手機(jī)用戶在公共Wi-Fi環(huán)境下個人隱私被竊取,在“3·15”晚會上,技術(shù)專家表示,建議使用電信運營商的2G/3G/4G網(wǎng)絡(luò)上網(wǎng)。魏亮認(rèn)為:“當(dāng)前對Wi-Fi信息盜取的技術(shù)門檻低,設(shè)備要求少,Wi-Fi的AP設(shè)備容易被控制;電信運營商的2G/3G/4G網(wǎng)絡(luò)信息盜取相對困難,基站設(shè)備不容易被攻擊,因此安全性要高一些。”李欣坦言:“在系統(tǒng)實施過程中需要人員運維,運營商2G/3G/4G網(wǎng)絡(luò)專門的人員維護(hù)的能力,是公共Wi-Fi提供者無法比擬的。”

總體而言,傳統(tǒng)電信網(wǎng)絡(luò)比互聯(lián)網(wǎng)封閉、成本高、設(shè)備專用,也相對安全。然而隨著網(wǎng)絡(luò)的融合,互聯(lián)網(wǎng)提供電信業(yè)務(wù),電信網(wǎng)使用IP技術(shù)。因此互聯(lián)網(wǎng)逐步重視安全;電信網(wǎng)逐步開放,安全性有所下降,也會出現(xiàn)涉及IP技術(shù)的非傳統(tǒng)安全問題。

協(xié)同合作保安全

針對日趨嚴(yán)峻的Wi-Fi安全問題,電信運營商、手機(jī)廠商、安全軟件開發(fā)商和用戶本人應(yīng)該互相協(xié)同以保障信息安全,尤其是廣大網(wǎng)民在公共場所使用Wi-Fi時,更應(yīng)注意做好防護(hù)措施。

魏亮表示:“業(yè)務(wù)提供者對用戶密碼、ID應(yīng)適當(dāng)加密,不明文傳送;Wi-Fi接入提供者使用安全的AP設(shè)備,設(shè)置加密強(qiáng)度足夠的管理員密碼,對用戶進(jìn)行安全提示;應(yīng)用廠商應(yīng)減少應(yīng)用漏洞的產(chǎn)生,出了問題要及時修補(bǔ);網(wǎng)民接入公共Wi-Fi時盡量不要使用網(wǎng)銀、郵箱等,盡量只瀏覽不登錄。”各方應(yīng)該合力把網(wǎng)絡(luò)環(huán)境建設(shè)得更加安全。

李欣則提醒用戶:“要提高安全意識,個人財產(chǎn)的支付要選擇安全的環(huán)境,優(yōu)先選擇電腦支付。同時,用戶在使用免費Wi-Fi時要有良好的安全習(xí)慣:認(rèn)清支付網(wǎng)站,在正規(guī)的應(yīng)用商城下載APP應(yīng)用,使用良好的安全工具等。”

國內(nèi)公共Wi-Fi安全問題由來已久,海外在公共Wi-Fi安全防護(hù)上是否有自己的獨到之處?魏亮表示:“海外市場的公共Wi-Fi技術(shù)本身并不比國內(nèi)市場安全,在Wi-Fi技術(shù)標(biāo)準(zhǔn)上,國內(nèi)外未有差距。”李欣則透露:“國內(nèi)用戶規(guī)模大,并且安全意識淡薄。在自覺遵從安全守則方面,國內(nèi)和國外尚有差距,需要用戶認(rèn)真遵守安全規(guī)則,從而保護(hù)自己的信息安全。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號