随着无线网络的普及,许多快餐店、超市、车站都会提供免费WiFi热点,免费无线上网方便市民上网冲浪的同时,也增加了个人信息安全的隐忧。近日,就有黑客自曝在一些提供免费WiFi的公共场合,用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。这是真的!本报联手东软安全顾问、曾经的中国鹰派黑客,共同组成了一个临时的WiFi攻防小组,解密WiFi泄密的过程,并寻求到安全可靠的防止泄密的办法。
攻:只需要数秒铺设陷阱
近段时间,关于WiFi泄密的新闻屡见报端,那么黑客是如何得逞的?真的如黑客自曝只需要15分钟就可以窃取手机上网用户的个人信息和密码么?“完全不用,铺设这个陷阱只需要数秒中即可办到。”曾经的中国鹰派黑客水波告诉记者,“黑客的手段很简单,伪造一个公众场合的WiFi信号源,这一点任何一部智能手机就可以实现,并且可以把信号源的命名设置成与公众WiFi的一致,比如我可以把自己的手机用户名设置成CHINANET,那么你就可以同时搜索到至少一个CHINANET的WiFi信号,如果是在这个区域有某运营商的CHINANET信号,那么你踏入陷阱的概率是50%,反之则是100%。”这个功能是为了方便手机用户共享网络而生的,手机最热门的功能,目前大多数手机上都有。
“只要用户连接上了我发出的信号源,那我的手机和对方的手机就成为一个局域网,这时候我就可以在对方的手机上‘打劫’了。一些不加密的服务,比如基于POP3和SMTP的邮件服务,是可以直接截获到邮箱和密码的。鉴于现在满世界流传的用户密码库和大家一个密码走天下的安全习惯,那危险也挺大。”水波坦言这只是最原始的手段,高明一点的还会根据现场的环境设置一个登录页面,采用用户注册的形式来迫使用户连接WiFi后打开网页注册登录,“网页的后台是可以挂木马之类的远程监控软件,在这之后用户的手机上的任何信息都敞开在了黑客面前。”而这个过程也并不复杂,“复制一个需要登录验证的网页只需要动动手指,然后根据目前主流的安卓手机写一个APK的安装文件木马程序即可”。
守:3种方士防泄密
黑客可以很轻松地窃走用户手机中的信息甚至手机银行的卡号密码,这似乎无可应对。东软安全顾问鞠先生向记者表示,“表面上黑客的攻击很凌厉,其实用户并非无法防御。”他推荐的第一种方式是使用苹果iPhone手机,“iPhone的用户群体很多,未越狱的iPhone手机必须通过APPstor来下载安装,所以相对安全。”另一个方法是针对目前普及程度最高的安卓智能手机,“安卓智能手机由于完全开放源代码,而且大多数用户都是在设置、应用程序里面选取了允许安装非电子市场提供的应用程序选项,这就给了黑客可乘之机,通过后台安装一个捆绑木马的应用轻而易举。但用户如果关闭该选项,那么黑客就无法实现后台安装。”尽管这两种方式都简单易学,但高明的黑客是可以采取嗅探的形式抓取连接到本机的设备密码,所以以上两种方法并非万全之策。
“最安全的做法是不要轻易连接公共场所的WiFi信号源,要知道不管是星巴克还是运营商亦或酒店的WiFi都可以轻易伪装,别说用户自己无法识别,就是WiFi的提供商也不敢肯定看到的WiFi信号源就一定是自己提供的。”鞠先生特别提醒部分在手机上安装了自动扫描信号源软件连接上网的蹭网用户,“蹭网是节约了一点点的流量,但却隐藏了更大的危机,往往得不偿失。”
他提出随着智能手机的普及,越来越多的人习惯在手机上上网冲浪、购物、聊天等,学会自我保护是最关键的。
老张
产品经理微信
