接入公共Wi-Fi不要使用支付類應(yīng)用

　   最近，關(guān)于Wi-Fi的新聞總讓人有些憂慮。前不久，央視3·15晚會曝光了Wi-Fi探針盒子，它能夠迅速識別出用戶手機(jī)的MAC地址，在神不知鬼不覺中進(jìn)行所謂的用戶畫像。近來，在加拿大溫哥華舉辦的國際頂級信息安全峰會CanSecWest2019上，又有安全專家指出了Wi-Fi的重大新問題——根據(jù)WPA/WPA2的避免重放機(jī)制（PN號）規(guī)劃上存在缺點(diǎn)，進(jìn)犯者能夠運(yùn)用這一缺點(diǎn)，準(zhǔn)確進(jìn)犯運(yùn)用某個(gè)Wi-Fi網(wǎng)絡(luò)中的一個(gè)或幾個(gè)用戶。

這一問題由阿里安全獵戶座實(shí)驗(yàn)室資深安全專家謝君和高檔安全工程師汪嘉恒在大會上披露。

謝君介紹，WPA全稱為WiFi Protected Access，有WPA、WPA2兩個(gè)規(guī)范，是一種維護(hù)無線網(wǎng)絡(luò)Wi-Fi存取安全的技能規(guī)范。現(xiàn)在，WPA2是運(yùn)用最廣泛的安全規(guī)范。不過自2004年推出以來，已連續(xù)有研究人員指出其存在的缺點(diǎn)可導(dǎo)致安全問題。

“咱們這次發(fā)現(xiàn)的缺點(diǎn)更加底層，進(jìn)犯者只需知道目標(biāo)網(wǎng)絡(luò)的暗碼，無需接入目標(biāo)網(wǎng)絡(luò)即可直接建議進(jìn)犯。”謝君通知科技日報(bào)記者，進(jìn)犯者能夠運(yùn)用避免重放機(jī)制的規(guī)劃缺點(diǎn)，將用戶和接入點(diǎn)之間的銜接直接綁架，轉(zhuǎn)化為中間人進(jìn)犯。具體來說，就是進(jìn)犯者可監(jiān)聽用戶與Wi-Fi接入點(diǎn)的通訊，在合適的機(jī)遇發(fā)送偽造的數(shù)據(jù)或者綁架用戶與Wi-Fi接入點(diǎn)的銜接，篡改正常的通訊內(nèi)容，導(dǎo)致用戶拜訪交互的數(shù)據(jù)半途被篡改。

通俗了解，這種進(jìn)犯能夠詐騙用戶拜訪假的網(wǎng)站，甚至篡改真實(shí)網(wǎng)站的內(nèi)容。“比方原來網(wǎng)站顯示的是不要把驗(yàn)證碼通知第三方，我能夠給你改成請把驗(yàn)證碼發(fā)送到xxxx之類。”謝君說。假如拜訪虛偽的網(wǎng)站被垂釣，用戶的賬號暗碼就有被盜取的風(fēng)險(xiǎn)，從而有可能遭受經(jīng)濟(jì)損失。

建議進(jìn)犯的可能性有多高？答案是，近乎100％。只需Wi-Fi暗碼被進(jìn)犯者知曉，進(jìn)犯者即可對接入網(wǎng)絡(luò)的任何一個(gè)端建議進(jìn)犯。不過，現(xiàn)在來看，運(yùn)用這一避免重放機(jī)制規(guī)劃缺點(diǎn)來進(jìn)行進(jìn)犯的技能門檻非常高。因而，用戶也不用太過嚴(yán)重。謝君建議，接入公共Wi-Fi后，仍是要盡量避免運(yùn)用靈敏應(yīng)用，比方銀行類或者支付類產(chǎn)品，或者登錄某些需求輸入用戶名和暗碼的網(wǎng)站。“這種進(jìn)犯只能誘運(yùn)用戶輸入靈敏內(nèi)容，而不能從什么都不做的用戶那里盜取信息，只需當(dāng)心即可。”

當(dāng)然，還有更簡單直接的風(fēng)險(xiǎn)躲避方式，那就是在公共場所盡量避免運(yùn)用公共Wi-Fi，盡量運(yùn)用移動網(wǎng)絡(luò)上網(wǎng)。

謝君表明，維護(hù)Wi-Fi安全需求行業(yè)各界共同努力。去年6月國際上已推出新規(guī)范WPA3協(xié)議，他呼吁應(yīng)加快推行這一新規(guī)范的普及落地，更好地保障用戶上網(wǎng)安全。