公共WiFi：寄生蟲熱點盜賬戶 防護軟件然并卵

　　為節(jié)省手機流量，一到公共場合就開始尋找連接免費的無線網(wǎng)絡(luò)，已成為許多市民的習慣。

　　然而，這兩天信息安全組織“雨襲團”發(fā)布的WiFi安全報告顯示，在南京機場、火車站、旅游景點、商業(yè)中心等近兩萬個WiFi熱點中，有超過6成的熱點并不安全。其中有14%為寄生蟲熱點，8.5%為釣魚WiFi。業(yè)內(nèi)人士提醒，對于沒有專業(yè)知識的普通市民來說，不要隨意連公共場合的免費WiFi，是目前最安全的舉措。

　　記者 王穎菲

　　探訪

　　免費WiFi熱點已成眾多公共場所“標配”

　　隨著智能手機的普及，隨處可見的免費WiFi熱點也成為很多流量有限的市民的“救星”。不過，這些熱點到底安不安全，成為許多人關(guān)注的問題。

　　昨天，現(xiàn)代快報記者走訪了南京新街口商圈，發(fā)現(xiàn)免費WiFi熱點已成為眾多公共場合“標配”，有的點擊就可以直接連上，有的則需要輸入手機號，接收驗證碼后即可連接。很多餐館也在墻上標注了WiFi的用戶名和密碼，供食客自行連接使用。

　　然而，這些公共熱點的安全性，引起許多人質(zhì)疑。24歲的白領(lǐng)羅晴表示，她此前在用餐時曾使用過某家餐廳的免費WiFi，之后經(jīng)常能收到包括這家餐廳在內(nèi)的許多商家的促銷信息，讓她煩不勝煩。想了半天，唯一的線索就是，自己在這家店連接無線網(wǎng)絡(luò)時，曾輸入手機號索取驗證碼。

　　一位業(yè)內(nèi)人士表示，在獲取驗證碼過程中，用戶的個人信息就已被后臺錄入了，之后網(wǎng)絡(luò)公司會把相關(guān)促銷信息發(fā)到每一個曾連接無線網(wǎng)的手機上。

　　不過，促銷信息的轟炸畢竟只是惱人，如果手機因為連無線網(wǎng)而導(dǎo)致錢財被竊、登錄信息被獲取，那就是大問題了。

　　數(shù)據(jù)

　　南京公共WiFi，僅4成是安全的

　　近日，信息安全組織“雨襲團”在“第五屆上海市信息安全活動周”的中國信息安全用戶大會上，公布了《中國一線城市WiFi安全與潛在威脅調(diào)查研究報告》。報告表示，利用最近半年時間，“雨襲團”在北上廣等國內(nèi)一線城市，對近7萬個WiFi信號進行了調(diào)查，發(fā)現(xiàn)眾多WiFi信號其實并不安全，讓不少人心生恐慌。

　　據(jù)了解，信息安全組織“雨襲團”的創(chuàng)始人名叫姚威，南京人，今年26歲，比起本名來說，他的網(wǎng)名“黑客叔叔p0tt1”更為業(yè)內(nèi)人所知。作為多家知名企業(yè)高危漏洞提交者，他在業(yè)內(nèi)早已頗有名氣，如今從事信息安全顧問工作。

　　昨天，在接受現(xiàn)代快報記者采訪時他表示，其實這一調(diào)查從一開始也在南京同步進行，并獲得了相關(guān)統(tǒng)計結(jié)果。

　　調(diào)查組采用了4G路由器，MAC采集工具、WiFi安全測試器、黑盒攻擊測試器等專業(yè)設(shè)備，在測試場景中駐停或流動進行測試。調(diào)查過程中，組織成員共走訪了鐘山風景區(qū)、夫子廟等旅游景點，南京站、南京南站、仙林大學城、珠江路各大電腦城等熱門場所，以及新街口、湖南路等知名商圈，不完全統(tǒng)計下來，南京公共場合的WiFi共有19003個，其中安全的公共熱點7568個，僅占統(tǒng)計總數(shù)的39.8%。安全熱點中，政府部門提供熱點有1722個。

　　將南京所有被統(tǒng)計的熱點細化來說，它們中有34%為第三方公司業(yè)務(wù)，23%為店鋪自建熱點、14%為寄生蟲熱點，9%為公共設(shè)備，8.5%為釣魚WiFi，7.5%為家庭熱點，4%為臨時熱點。

　　分析

　　寄生蟲熱點，安全軟件都無法識別

　　這意味著什么？姚威向現(xiàn)代快報記者解釋，所有這些熱點中，目前“危險程度”最高的，堪稱“寄生蟲熱點”。

　　由于目前南京很多公共場合都設(shè)有WiFi熱點，很多是南京政府部門架設(shè)的，因此市民十分放心。然而，有不法分子將自帶的手機或路由器“寄生”在公共WiFi上，然后將自己的設(shè)備“偽裝”成正常WiFi信號，讓市民難以區(qū)分。有的甚至自帶壓制設(shè)備，對正常WiFi信號進行攻擊，導(dǎo)致連上正常信號的市民，無法以正常網(wǎng)速上網(wǎng)，最后被迫放棄，轉(zhuǎn)連“寄生蟲熱點”。而這種熱點，很多安全軟件也無法識別，使得用戶無論是登錄還是支付都毫不設(shè)防。

　　一旦連上這種熱點，它可能會進行經(jīng)濟行為，比如用戶無論在哪兒付錢，最終錢款都將被轉(zhuǎn)走；或者在用戶購物時，后臺轉(zhuǎn)到不法分子開設(shè)的淘寶店，收取巨額錢款，造成用戶財產(chǎn)損失。它們還會獲取用戶的登錄信息，然后通過二次推廣廣告收取流量費用，比如在用戶登錄自己 微博 時，不法分子會發(fā)布賭博、色情等垃圾廣告，或在用戶正�？淳W(wǎng)頁時推送色情、游戲等垃圾廣告。

　　還有一類值得注意的是傳統(tǒng)的釣魚WiFi，它同樣會收集用戶的登錄信息，盜取用戶的各種賬戶和密碼。

　　還有一類就是第三方公司業(yè)務(wù)，它們不少也會推送垃圾廣告，并獲取用戶數(shù)據(jù)。

　　根據(jù)統(tǒng)計，所有不安全的WiFi中，有93%會獲取用戶信息和設(shè)備信息，87%會推送垃圾廣告，46%會利用釣魚等方式盜取賬號密碼，還有5%會修改并植入惡意軟件。

　　對策

　　別用公共WiFi進行支付操作

　　姚威表示，目前的數(shù)據(jù)還是保守估計，實際不安全的公共熱點可能比統(tǒng)計出的還要多。

　　但最讓人擔心的是，面對“寄生蟲熱點”，很多非專業(yè)的普通市民根本沒法分辨。由于正常熱點有可能被“寄生”，因此也就不存在一些人認為的“大場所的公共WiFi更為安全”的說法。

　　姚威建議，目前最好的防范辦法就是，建議普通市民在公共場合不要隨意連免費WiFi，“畢竟天下沒有免費的午餐。”

　　如果實在有急事需要連接公共WiFi，那么最好僅限于看視頻和新聞，不要嘗試支付類或登錄類操作。即使用戶某個軟件或頁面是自動登錄、不需要輸入密碼的，不法分子也可以在用戶連接網(wǎng)絡(luò)過程中使用用戶登錄信息進行垃圾廣告的二次推廣。

　　南京信息工程大學計算機與軟件學院教授沈劍也提醒，大多公共WiFi沒有經(jīng)過任何處理，肯定有很多潛在風險。因此很多熱點在市民連接時，也會提醒，“連接網(wǎng)絡(luò)可能存在安全風險，是否同意”，說明用戶在使用公共WiFi時，必然承擔風險。

　　但市民也不用過分緊張。例如上網(wǎng)看新聞、視頻這樣的操作，對安全等級的要求不高，即使被人竊取，也只是知道瀏覽記錄等信息，對用戶不會造成太大影響。但對于支付等安全等級要求非常高的操作，用戶必須格外小心。

　　據(jù)《福布斯》網(wǎng)絡(luò)版報道，號稱“全球最大商用WiFi網(wǎng)絡(luò)提供商”的iPass公司公布的數(shù)據(jù)顯示，中國的WiFi數(shù)量位居全球第四。法國、美國和英國分別位居前三，WiFi熱點數(shù)量分別為1300萬個、980萬個和560萬個，中國現(xiàn)有WiFi熱點數(shù)量超過491萬個。整體來看，全球公用WiFi熱點數(shù)量超過了5000萬個，較2013年增長了80%。

　　然而，捷克一家安全軟件公司的移動安全專家分別針對美國、歐洲和亞洲9個城市的公共WiFi熱點安全性進行了調(diào)查。調(diào)查結(jié)果顯示，大多數(shù)WiFi熱點主要通過某種形式的加密進行防護，但這些措施防護能力較弱，黑客很容易就能獲取WiFi用戶的網(wǎng)頁瀏覽活動、搜索行為、密碼、視頻、電子郵件和其他個人信息。