中文 ENGLISH 企業郵箱

警惕隱藏在公共WiFi裏的“定時炸彈”

作者:朱晓航 日期:2015-6-24 11:11:16

    随着移动互联网的迅速发展,公共WiFi在商场、餐厅等公共场所的应用日益普及,这项服务几乎已经成为公共场所服务范围内的标准配置。但公共WiFi人流量大、需求多种多样的特点也为其带来安全隐患,可能引发严重后果,造成用户个人隐私泄露和财产损失。
  八成WiFi 15分鍾內被破解
  近日,捷克安全軟件公司Avast的移動安全專家分別針對美國、歐洲和亞洲9個城市的公共WiFi熱點安全性進行了調查。調查結果顯示,大多數WiFi熱點主要通過某種形式的加密進行防護,但這些措施防護能力較弱,黑客很容易就能獲取WiFi用戶的網頁浏覽活動、搜索行爲、密碼、視頻、電子郵件和其他個人信息。
  騰訊安全WiFi聯盟發布的數據顯示,全球約10%的人口正在使用WiFi,作爲全球最大的市場之一,中國目前公共場所WiFi熱點覆蓋至少超過千萬個。但隨之而來的是,公共WiFi的安全問題也日益突出。獵豹免費WiFi2014年發布的《中國公共WiFi安全報告》稱,全國近21%的公共WiFi熱點存在安全隱患,由此引發的網銀被盜、個人信息泄露、網絡詐騙等案例已呈爆發性上升趨勢。獵豹免費WiFi針對全國各地8萬個公共WiFi熱點進行的抽樣安全調查顯示,有17386個免費公共熱點存在風險,占全部免費公共WiFi熱點的21%,由此推測,全國可能有126萬個公共免費WiFi熱點存在安全隱患。根據《2015中國WiFi 安全綠皮書》披露的數據,國內80%的WiFi 能在15分鍾內被輕易破解,平均每天有約3.06%的WiFi 會遭遇DNS 劫持攻擊,4.97%的WiFi 會遭遇ARP 攻擊。
  僅一半用戶關注WiFi安全
  目前,公共WiFi主要存在幾方面的安全問題:
  一是虛假WiFi釣魚。騰訊手機管家安全專家分析,虛假WiFi釣魚是當前免費WiFi的主要安全風險。所謂虛假WiFi釣魚,是指犯罪分子通過架設一個與某公共WiFi熱點同名的WiFi網絡,吸引用戶通過移動設備接入該網絡,然後就可以通過分析軟件竊取這些接入虛假WiFi熱點用戶的資料,包括WiFi登錄密碼,從而成功破譯。更嚴重的是,通過這一手段,黑客還能竊取到用戶的銀行賬戶、網絡支付賬戶密碼,從而實施資金的盜刷,給公共WiFi用戶帶來極大安全威脅。
  二是DNS被惡意篡改。使用WiFi上網,DNS服務器是其上網過程中的一項重要環節。但DNS時常會被黑客惡意篡改,一旦使用被篡改的惡意DNS服務器訪問網站,用戶很有可能被劫持至釣魚網站,最終導致通過登錄網頁,賬號密碼等個人隱私信息被盜。目前,DNS被惡意篡改已經成爲全球網絡安全的最大隱患,波及範圍也越來越廣。據360手機中心調查數據顯示,在全球範圍內,惡意DNS服務器分布中,韓國以24.82%居首,中國香港、美國分別以20.37%、18.08%位列第二位、第三位,此後依次爲日本12.18% 、中國廣東8.96%、中國浙江6.28%,其他9.31%。從數據中看出,國內受惡意DNS影響較大。
  三是大功率無線網卡威脅公共WiFi安全。“大功率無線網卡”俗稱“蹭網卡”,通過破解密碼,強行共享他人無線網絡,增加公共WiFi網絡負擔,拖慢網速,造成穩定性差。更嚴重的是,通過截獲無線數據,還可以分析出公共WiFi用戶的網銀、郵件等重要數據,直接威脅公共WiFi用戶的個人財産安全。
  四是公共WiFi缺乏規範的標准。目前,我國沒有對公共場所無線網絡推行實名制,絕大多數公共場所無線網絡的管理措施還停留在備案制層面,而且各個WiFi服務提供商和安全軟件廠商都實行各自的安全標准,整個行業缺乏統一標准,行業進入門檻很低。
  五是公共WiFi用戶安全意識薄弱。騰訊手機管家《愛蹭WiFi的人必看》報告顯示,在Android聯網用戶中有49.75%的人會使用WiFi聯網。這其中86.03%的用戶喜愛用WiFi上網聊天,有67.23%的人關注到WiFi聯網速度慢的問題,甚至有62.05%的人抱怨WiFi連接需要密碼太麻煩,而僅有49.14%的人會關注WiFi安全問題。由此可見,WiFi用戶更多關注WiFi聯網的實際操作問題,但超過五成用戶都沒有意識到WiFi的安全問題。
  加強對公共WiFi的實時監管
  爲了規避公共WiFi的安全隱患、保護廣大用戶的個人隱私和財産安全,可以從以下幾方面入手:

  建立健全公共WiFi相關制度。政府可從政策制定、制度建設等方面入手,加強對如何建設健康、安全的公共WiFi應用生態環境的研究,保證公共公共場所寬帶無線上網服務的質量、穩定性和安全性。例如,俄羅斯政府自2014年8月起推行公共場所WiFi實名制認證制度。根據相關法令規定,使用者在地鐵、酒店、餐廳、機場、公園等公共場所使用WiFi無線網絡時,不得匿名連入無線網絡。使用者必須首先提供本人姓名、駕照號碼、護照號碼等能夠證明自身身份的信息進行實名認證,並經相應核實後,才可使用WiFi無線網絡。對于使用者所提供的個人信息,法令要求網絡運營商至少將其保存半年以上,以強化網絡監管。爲了能夠對使用者提供的信息進行認證,俄羅斯政府也專門指派俄羅斯電信公司負責對于信息識別器的安裝,以實現對于WiFi無線網絡的實時監管。
  加大公共WiFi建設投資。目前,已經有部分發達國家政府或大公司購買無線信號,向居民提供免費WiFi信號。例如,2014年6月,韓國信息化振興院與17家地方自治團體和韓國三大移動通信運營商簽署協議,將擴大韓國公共無線網絡的覆蓋面積,增設約3000處公共無線網絡,屆時韓國公共無線網絡累計將達7000處。費用將由韓國中央政府和地方自治團體分別承擔25%,移動通信運營商承擔50%。在政府投資公共WiFi建設過程中,應該充分聽取公衆的意見,將WiFi熱點布置在人流量大且逗留時間較長的公共場所,提高公共WiFi使用率,避免資源浪費。同時,政府應協調運營商,明確頻率分配規則,探索多家運營商共享WiFi發射設備,減少重複建設,避免幹擾。
  加強各方合作,逐步完善相關規範和標准。可加強與服務商的合作,解決好公共WiFi的安全性、穩定性、登錄速度等問題,破解公共無線網絡用戶體驗和服務質量差等困局,建設健全公共WiFi的服務規範和服務標准。如騰訊無線安全産品部運營總監葛明曾表示:“免費WiFi市場目前缺少統一的服務標准和行爲規範,基礎安全能力往往被忽視,而用戶使用免費WiFi的安全隱患則日益凸顯,産業鏈合作並制定相關制度可改變這一現狀。”
加大宣傳力度,提高用戶安全意識。一方面,監管機構可對公共場所WiFi進行安全性認證,並進行標識。同時,要求無線WiFi網絡服務提供商提供該WiFi安全等級提示,從而用戶可以選擇性連接,避免接入不安全的WiFi網絡。另一方面,對WiFi用戶進行安全使用宣傳,向用戶普及公共WiFi網絡安全知識,提高其安全意識。