安全進化史
WiFi是一種短程無線傳輸技術����,能夠在數百英尺范圍內支持互聯網接入的無線電信號�����。隨著技術的發展,以及IEEE802.11a、802.11b、802.11g以及802.11n等標準的出現,現在IEEE802.11這個標準已被統稱作WiFi����。
第二次世界大戰后�����,無線通訊因在軍事上應用的成功而受到重視,但缺乏廣泛的通訊標準。于是�����,IEEE(美國電氣和電子工程師協會)在1997年為無線局域網制定了第一個標準——IEEE802.11����。IEEE 802.11標準最初主要用于解決辦公室局域網和校園網中用戶的無線接入,其業務主要限于數據存取,速率最高只能達到2Mbps��。
在WiFi技術的發展過程中�����,除了傳輸速率不斷提升之外,安全加密技術的不斷增強也是其技術標準頻繁更新的重要原因���。而最早進入WiFi標準的加密技術名為WEP(Wired Equivalent Privacy,有線等效保密)���,但由于該技術的加密功能過于脆弱,很快就被2003年和2004年推出的WPA(WiFi Protected Access����,WiFi網絡安全存?����。┖蚖PA2技術所取代。
但即使是較新的WPA2加密技術���,仍然在無線開放環境下存在安全性較弱、無法滿足電信級高可靠性要求等問題�����,為此����,我國依據“商用密碼管理條例”制定了針對WiFi既有安全加密技術漏洞自主安全標準WAPI(Wireless LAN Authentication and Privacy Infrastructure,無線網絡鑒別保密基礎結構)�����。
2009年6月�,工信部發布新政,宣布加裝WAPI功能的手機可入網檢測并獲進網許可���。當月,包括美國代表在內的參會成員一致同意��,將WAPI作為無線局域網絡接入安全機制獨立標準形式推進為國際標準��。
追問1
釣魚WiFi竊取用戶密碼�?
從技術角度來說�,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚
在那篇引發公共WiFi安全性問題爭議的網帖中�����,名為“妖妃娘娘”的樓主詳細演示了如何用“Win7系統電腦�、無線熱點和Wireshark軟件”竊取使用UC瀏覽器用戶個人信息和密碼的全過程。
“妖妃娘娘”稱���,按照該教程,即使是初級黑客也只需要兩個小時����,就能掌握如何在公共場所設置免費WiFi來進行釣魚�����,熟練后甚至僅需15分鐘就能夠輕松搞定使用UC瀏覽器上網用戶的密碼。而這其中的關鍵在于�����,UC瀏覽器本身存在安全漏洞����,其所謂的“云加速”服務在傳輸用戶信息時使用了明文傳輸密碼,讓泄密成為了可能�����。
對于這份“釣魚WiFi”的詳細教程�����,很快就有熱心網友進行了親身驗證,結果證明在iPhone上使用版本號為8.2.1.132的UC瀏覽器��,果真可以通過Wireshark軟件截取到登錄Gmail賬戶時輸入的賬號和密碼信息����。
看完網友實證帖后,杜瑞強想起自己平時肆無忌憚地在星巴克蹭網���,不由得有些后怕。
然而,這還不是讓公共WiFi安全性問題被徹底引爆的關鍵��,在“妖妃娘娘”的網帖和隨后網友實證帖被廣泛傳開后��,有關“釣魚WiFi”竊取他人信息和密碼的強大能力被越傳越神���,“網銀密碼也能輕松搞定”等說法更是引起了眾多網友的強烈不安����。
作為UC瀏覽器開發廠商——UC優視公司對于這個問題并沒有太多回避�����。
該公司CEO俞永福直承����,在前期某個版本的iPhone用UC瀏覽器上的確存在漏洞����,但很快就推出了新版本的軟件加以改進。不過他同時也表示���,只要是遭遇“釣魚WiFi”��,用戶上網過程中個人信息和密碼就都有可能被別有用心的黑客獲取���,并非只有使用UC瀏覽器的用戶才會有這個風險����。
“最大的問題其實是在我們目前網站建設上普遍采用的HTTP(Hypertext Transfer Protocol,超文本傳輸)協議本身的安全性較低?!庇嵊栏5恼f法獲得了金山網絡安全專家李鐵軍的支持�����。
李鐵軍稱,從技術角度來說“妖妃娘娘”介紹的釣魚方法是可行的,但這并不止是手機瀏覽器的問題,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚�����,這種技術被業內稱為“攻擊中間人”�����。
李鐵軍進一步解釋����,如果用戶使用黑客設置的釣魚WiFi上網�,那么黑客使用相關軟件監視并記錄用戶在網上進行的所有操作信息,從中竊取有價值資料����,比如QQ聊天記錄�����、郵件內容等����,“獲取網銀賬戶密碼的可能性較小,但也并不是完全沒有可能”���。