公共WiFi：寄生蟲熱點(diǎn)盜賬戶 防護(hù)軟件然并卵

　　為節(jié)省手機(jī)流量，一到公共場合就開始尋找連接免費(fèi)的無線網(wǎng)絡(luò)，已成為許多市民的習(xí)慣。

　　然而，這兩天信息安全組織“雨襲團(tuán)”發(fā)布的WiFi安全報(bào)告顯示，在南京機(jī)場、火車站、旅游景點(diǎn)、商業(yè)中心等近兩萬個(gè)WiFi熱點(diǎn)中，有超過6成的熱點(diǎn)并不安全。其中有14%為寄生蟲熱點(diǎn)，8.5%為釣魚WiFi。業(yè)內(nèi)人士提醒，對(duì)于沒有專業(yè)知識(shí)的普通市民來說，不要隨意連公共場合的免費(fèi)WiFi，是目前最安全的舉措。

　　記者 王穎菲

　　探訪

　　免費(fèi)WiFi熱點(diǎn)已成眾多公共場所“標(biāo)配”

　　隨著智能手機(jī)的普及，隨處可見的免費(fèi)WiFi熱點(diǎn)也成為很多流量有限的市民的“救星”。不過，這些熱點(diǎn)到底安不安全，成為許多人關(guān)注的問題。

　　昨天，現(xiàn)代快報(bào)記者走訪了南京新街口商圈，發(fā)現(xiàn)免費(fèi)WiFi熱點(diǎn)已成為眾多公共場合“標(biāo)配”，有的點(diǎn)擊就可以直接連上，有的則需要輸入手機(jī)號(hào)，接收驗(yàn)證碼后即可連接。很多餐館也在墻上標(biāo)注了WiFi的用戶名和密碼，供食客自行連接使用。

　　然而，這些公共熱點(diǎn)的安全性，引起許多人質(zhì)疑。24歲的白領(lǐng)羅晴表示，她此前在用餐時(shí)曾使用過某家餐廳的免費(fèi)WiFi，之后經(jīng)常能收到包括這家餐廳在內(nèi)的許多商家的促銷信息，讓她煩不勝煩。想了半天，唯一的線索就是，自己在這家店連接無線網(wǎng)絡(luò)時(shí)，曾輸入手機(jī)號(hào)索取驗(yàn)證碼。

　　一位業(yè)內(nèi)人士表示，在獲取驗(yàn)證碼過程中，用戶的個(gè)人信息就已被后臺(tái)錄入了，之后網(wǎng)絡(luò)公司會(huì)把相關(guān)促銷信息發(fā)到每一個(gè)曾連接無線網(wǎng)的手機(jī)上。

　　不過，促銷信息的轟炸畢竟只是惱人，如果手機(jī)因?yàn)檫B無線網(wǎng)而導(dǎo)致錢財(cái)被竊、登錄信息被獲取，那就是大問題了。

　　數(shù)據(jù)

　　南京公共WiFi，僅4成是安全的

　　近日，信息安全組織“雨襲團(tuán)”在“第五屆上海市信息安全活動(dòng)周”的中國信息安全用戶大會(huì)上，公布了《中國一線城市WiFi安全與潛在威脅調(diào)查研究報(bào)告》。報(bào)告表示，利用最近半年時(shí)間，“雨襲團(tuán)”在北上廣等國內(nèi)一線城市，對(duì)近7萬個(gè)WiFi信號(hào)進(jìn)行了調(diào)查，發(fā)現(xiàn)眾多WiFi信號(hào)其實(shí)并不安全，讓不少人心生恐慌。

　　據(jù)了解，信息安全組織“雨襲團(tuán)”的創(chuàng)始人名叫姚威，南京人，今年26歲，比起本名來說，他的網(wǎng)名“黑客叔叔p0tt1”更為業(yè)內(nèi)人所知。作為多家知名企業(yè)高危漏洞提交者，他在業(yè)內(nèi)早已頗有名氣，如今從事信息安全顧問工作。

　　昨天，在接受現(xiàn)代快報(bào)記者采訪時(shí)他表示，其實(shí)這一調(diào)查從一開始也在南京同步進(jìn)行，并獲得了相關(guān)統(tǒng)計(jì)結(jié)果。

　　調(diào)查組采用了4G路由器，MAC采集工具、WiFi安全測試器、黑盒攻擊測試器等專業(yè)設(shè)備，在測試場景中駐�；蛄鲃�(dòng)進(jìn)行測試。調(diào)查過程中，組織成員共走訪了鐘山風(fēng)景區(qū)、夫子廟等旅游景點(diǎn)，南京站、南京南站、仙林大學(xué)城、珠江路各大電腦城等熱門場所，以及新街口、湖南路等知名商圈，不完全統(tǒng)計(jì)下來，南京公共場合的WiFi共有19003個(gè)，其中安全的公共熱點(diǎn)7568個(gè)，僅占統(tǒng)計(jì)總數(shù)的39.8%。安全熱點(diǎn)中，政府部門提供熱點(diǎn)有1722個(gè)。

　　將南京所有被統(tǒng)計(jì)的熱點(diǎn)細(xì)化來說，它們中有34%為第三方公司業(yè)務(wù)，23%為店鋪?zhàn)越�熱點(diǎn)、14%為寄生蟲熱點(diǎn)，9%為公共設(shè)備，8.5%為釣魚WiFi，7.5%為家庭熱點(diǎn)，4%為臨時(shí)熱點(diǎn)。

　　分析

　　寄生蟲熱點(diǎn)，安全軟件都無法識(shí)別

　　這意味著什么？姚威向現(xiàn)代快報(bào)記者解釋，所有這些熱點(diǎn)中，目前“危險(xiǎn)程度”最高的，堪稱“寄生蟲熱點(diǎn)”。

　　由于目前南京很多公共場合都設(shè)有WiFi熱點(diǎn)，很多是南京政府部門架設(shè)的，因此市民十分放心。然而，有不法分子將自帶的手機(jī)或路由器“寄生”在公共WiFi上，然后將自己的設(shè)備“偽裝”成正常WiFi信號(hào)，讓市民難以區(qū)分。有的甚至自帶壓制設(shè)備，對(duì)正常WiFi信號(hào)進(jìn)行攻擊，導(dǎo)致連上正常信號(hào)的市民，無法以正常網(wǎng)速上網(wǎng)，最后被迫放棄，轉(zhuǎn)連“寄生蟲熱點(diǎn)”。而這種熱點(diǎn)，很多安全軟件也無法識(shí)別，使得用戶無論是登錄還是支付都毫不設(shè)防。

　　一旦連上這種熱點(diǎn)，它可能會(huì)進(jìn)行經(jīng)濟(jì)行為，比如用戶無論在哪兒付錢，最終錢款都將被轉(zhuǎn)走；或者在用戶購物時(shí)，后臺(tái)轉(zhuǎn)到不法分子開設(shè)的淘寶店，收取巨額錢款，造成用戶財(cái)產(chǎn)損失。它們還會(huì)獲取用戶的登錄信息，然后通過二次推廣廣告收取流量費(fèi)用，比如在用戶登錄自己 微博 時(shí)，不法分子會(huì)發(fā)布賭博、色情等垃圾廣告，或在用戶正�？淳W(wǎng)頁時(shí)推送色情、游戲等垃圾廣告。

　　還有一類值得注意的是傳統(tǒng)的釣魚WiFi，它同樣會(huì)收集用戶的登錄信息，盜取用戶的各種賬戶和密碼。

　　還有一類就是第三方公司業(yè)務(wù)，它們不少也會(huì)推送垃圾廣告，并獲取用戶數(shù)據(jù)。

　　根據(jù)統(tǒng)計(jì)，所有不安全的WiFi中，有93%會(huì)獲取用戶信息和設(shè)備信息，87%會(huì)推送垃圾廣告，46%會(huì)利用釣魚等方式盜取賬號(hào)密碼，還有5%會(huì)修改并植入惡意軟件。

　　對(duì)策

　　別用公共WiFi進(jìn)行支付操作

　　姚威表示，目前的數(shù)據(jù)還是保守估計(jì)，實(shí)際不安全的公共熱點(diǎn)可能比統(tǒng)計(jì)出的還要多。

　　但最讓人擔(dān)心的是，面對(duì)“寄生蟲熱點(diǎn)”，很多非專業(yè)的普通市民根本沒法分辨。由于正常熱點(diǎn)有可能被“寄生”，因此也就不存在一些人認(rèn)為的“大場所的公共WiFi更為安全”的說法。

　　姚威建議，目前最好的防范辦法就是，建議普通市民在公共場合不要隨意連免費(fèi)WiFi，“畢竟天下沒有免費(fèi)的午餐�！�

　　如果實(shí)在有急事需要連接公共WiFi，那么最好僅限于看視頻和新聞，不要嘗試支付類或登錄類操作。即使用戶某個(gè)軟件或頁面是自動(dòng)登錄、不需要輸入密碼的，不法分子也可以在用戶連接網(wǎng)絡(luò)過程中使用用戶登錄信息進(jìn)行垃圾廣告的二次推廣。

　　南京信息工程大學(xué)計(jì)算機(jī)與軟件學(xué)院教授沈劍也提醒，大多公共WiFi沒有經(jīng)過任何處理，肯定有很多潛在風(fēng)險(xiǎn)。因此很多熱點(diǎn)在市民連接時(shí)，也會(huì)提醒，“連接網(wǎng)絡(luò)可能存在安全風(fēng)險(xiǎn)，是否同意”，說明用戶在使用公共WiFi時(shí)，必然承擔(dān)風(fēng)險(xiǎn)。

　　但市民也不用過分緊張。例如上網(wǎng)看新聞、視頻這樣的操作，對(duì)安全等級(jí)的要求不高，即使被人竊取，也只是知道瀏覽記錄等信息，對(duì)用戶不會(huì)造成太大影響。但對(duì)于支付等安全等級(jí)要求非常高的操作，用戶必須格外小心。

　　據(jù)《福布斯》網(wǎng)絡(luò)版報(bào)道，號(hào)稱“全球最大商用WiFi網(wǎng)絡(luò)提供商”的iPass公司公布的數(shù)據(jù)顯示，中國的WiFi數(shù)量位居全球第四。法國、美國和英國分別位居前三，WiFi熱點(diǎn)數(shù)量分別為1300萬個(gè)、980萬個(gè)和560萬個(gè)，中國現(xiàn)有WiFi熱點(diǎn)數(shù)量超過491萬個(gè)。整體來看，全球公用WiFi熱點(diǎn)數(shù)量超過了5000萬個(gè)，較2013年增長了80%。

　　然而，捷克一家安全軟件公司的移動(dòng)安全專家分別針對(duì)美國、歐洲和亞洲9個(gè)城市的公共WiFi熱點(diǎn)安全性進(jìn)行了調(diào)查。調(diào)查結(jié)果顯示，大多數(shù)WiFi熱點(diǎn)主要通過某種形式的加密進(jìn)行防護(hù)，但這些措施防護(hù)能力較弱，黑客很容易就能獲取WiFi用戶的網(wǎng)頁瀏覽活動(dòng)、搜索行為、密碼、視頻、電子郵件和其他個(gè)人信息。