南京超6成公共WiFi不安全 寄生虫热点易盗账户
为节省手机流量,一到公共场合就开始寻找连接免费的无线网络,已成为许多市民的习惯。
然而,这两天信息安全组织“雨袭团”发布的WiFi安全报告显示,在南京机场、火车站、旅游景点、商业中心等近两万个WiFi热点中,有超过6成的热点并不安全。其中有14%为寄生虫热点,8.5%为钓鱼WiFi。业内人士提醒,对于没有专业知识的普通市民来说,不要随意连公共场合的免费WiFi,是目前最安全的举措。
探访
免费WiFi热点已成众多公共场所“标配”
随着智能手机的普及,随处可见的免费WiFi热点也成为很多流量有限的市民的“救星”。不过,这些热点到底安不安全,成为许多人关注的问题。
昨天,现代快报记者走访了南京新街口商圈,发现免费WiFi热点已成为众多公共场合“标配”,有的点击就可以直接连上,有的则需要输入手机号,接收验证码后即可连接。很多餐馆也在墙上标注了WiFi的用户名和密码,供食客自行连接使用。
然而,这些公共热点的安全性,引起许多人质疑。24岁的白领罗晴表示,她此前在用餐时曾使用过某家餐厅的免费WiFi,之后经常能收到包括这家餐厅在内的许多商家的促销信息,让她烦不胜烦。想了半天,唯一的线索就是,自己在这家店连接无线网络时,曾输入手机号索取验证码。
一位业内人士表示,在获取验证码过程中,用户的个人信息就已被后台录入了,之后网络公司会把相关促销信息发到每一个曾连接无线网的手机上。
不过,促销信息的轰炸毕竟只是恼人,如果手机因为连无线网而导致钱财被窃、登录信息被获取,那就是大问题了。
数据
南京公共WiFi,仅4成是安全的
近日,信息安全组织“雨袭团”在“第五届上海市信息安全活动周”的中国信息安全用户大会上,公布了《中国一线城市WiFi安全与潜在威胁调查研究报告》。报告表示,利用最近半年时间,“雨袭团”在北上广等国内一线城市,对近7万个WiFi信号进行了调查,发现众多WiFi信号其实并不安全,让不少人心生恐慌。
据了解,信息安全组织“雨袭团”的创始人名叫姚威,南京人,今年26岁,比起本名来说,他的网名“黑客叔叔p0tt1”更为业内人所知。作为多家知名企业高危漏洞提交者,他在业内早已颇有名气,如今从事信息安全顾问工作。
昨天,在接受现代快报记者采访时他表示,其实这一调查从一开始也在南京同步进行,并获得了相关统计结果。
调查组采用了4G路由器,MAC采集工具、WiFi安全测试器、黑盒攻击测试器等专业设备,在测试场景中驻停或流动进行测试。调查过程中,组织成员共走访了钟山风景区、夫子庙等旅游景点,南京站、南京南站、仙林大学城、珠江路各大电脑城等热门场所,以及新街口、湖南路等知名商圈,不完全统计下来,南京公共场合的WiFi共有19003个,其中安全的公共热点7568个,仅占统计总数的39.8%。安全热点中,政府部门提供热点有1722个。
将南京所有被统计的热点细化来说,它们中有34%为第三方公司业务,23%为店铺自建热点、14%为寄生虫热点,9%为公共设备,8.5%为钓鱼WiFi,7.5%为家庭热点,4%为临时热点。
分析
寄生虫热点,安全软件都无法识别
这意味着什么?姚威向现代快报记者解释,所有这些热点中,目前“危险程度”最高的,堪称“寄生虫热点”。
由于目前南京很多公共场合都设有WiFi热点,很多是南京政府部门架设的,因此市民十分放心。然而,有不法分子将自带的手机或路由器“寄生”在公共WiFi上,然后将自己的设备“伪装”成正常WiFi信号,让市民难以区分。有的甚至自带压制设备,对正常WiFi信号进行攻击,导致连上正常信号的市民,无法以正常网速上网,最后被迫放弃,转连“寄生虫热点”。而这种热点,很多安全软件也无法识别,使得用户无论是登录还是支付都毫不设防。
一旦连上这种热点,它可能会进行经济行为,比如用户无论在哪儿付钱,最终钱款都将被转走;或者在用户购物时,后台转到不法分子开设的淘宝店,收取巨额钱款,造成用户财产损失。它们还会获取用户的登录信息,然后通过二次推广广告收取流量费用,比如在用户登录自己微博时,不法分子会发布赌博、色情等垃圾广告,或在用户正常看网页时推送色情、游戏等垃圾广告。
还有一类值得注意的是传统的钓鱼WiFi,它同样会收集用户的登录信息,盗取用户的各种账户和密码。
还有一类就是第三方公司业务,它们不少也会推送垃圾广告,并获取用户数据。
根据统计,所有不安全的WiFi中,有93%会获取用户信息和设备信息,87%会推送垃圾广告,46%会利用钓鱼等方式盗取账号密码,还有5%会修改并植入恶意软件。
别用公共WiFi进行支付操作
对策
姚威表示,目前的数据还是保守估计,实际不安全的公共热点可能比统计出的还要多。
但最让人担心的是,面对“寄生虫热点”,很多非专业的普通市民根本没法分辨。由于正常热点有可能被“寄生”,因此也就不存在一些人认为的“大场所的公共WiFi更为安全”的说法。
姚威建议,目前最好的防范办法就是,建议普通市民在公共场合不要随意连免费WiFi,“毕竟天下没有免费的午餐。”
如果实在有急事需要连接公共WiFi,那么最好仅限于看视频和新闻,不要尝试支付类或登录类操作。即使用户某个软件或页面是自动登录、不需要输入密码的,不法分子也可以在用户连接网络过程中使用用户登录信息进行垃圾广告的二次推广。
南京信息工程大学计算机与软件学院教授沈剑也提醒,大多公共WiFi没有经过任何处理,肯定有很多潜在风险。因此很多热点在市民连接时,也会提醒,“连接网络可能存在安全风险,是否同意”,说明用户在使用公共WiFi时,必然承担风险。
但市民也不用过分紧张。例如上网看新闻、视频这样的操作,对安全等级的要求不高,即使被人窃取,也只是知道浏览记录等信息,对用户不会造成太大影响。但对于支付等安全等级要求非常高的操作,用户必须格外小心。
据《福布斯》网络版报道,号称“全球最大商用WiFi网络提供商”的iPass公司公布的数据显示,中国的WiFi数量位居全球第四。法国、美国和英国分别位居前三,WiFi热点数量分别为1300万个、980万个和560万个,中国现有WiFi热点数量超过491万个。整体来看,全球公用WiFi热点数量超过了5000万个,较2013年增长了80%。
然而,捷克一家安全软件公司的移动安全专家分别针对美国、欧洲和亚洲9个城市的公共WiFi热点安全性进行了调查。调查结果显示,大多数WiFi热点主要通过某种形式的加密进行防护,但这些措施防护能力较弱,黑客很容易就能获取WiFi用户的网页浏览活动、搜索行为、密码、视频、电子邮件和其他个人信息。(王颖菲)
编辑:刘林