公共WiFi泄密疑云
追问2
用户资料泄露漏洞在哪?
WiFi设备并没有出现安全方面的问题,是人们怎样使用WiFi上出了问题
虽然专家证明“钓鱼WiFi”的确有可能导致用户的个人信息泄露,但这究竟是WiFi网络本身的问题还是其它方面的因素导致,这种泄露的后果究竟又会有多严重呢?
贝尔金公司技术工程师梁汉明认为,钓鱼WiFi引发的公共场所WiFi的安全性问题和WiFi本身的安全性问题,在本质上是两回事,前者更多的是人的问题,但后者则只是较为单纯的设备问题。
“首先我们需要承认WiFi设备是有一定技术漏洞,这种情况在各种高科技产品和服务中都存在,就像Windows系统市场多次爆出安全漏洞,美国五角大楼也曾经被黑客攻破一样,网络设备和服务安全性虽然一直都在提升中,但谁也不敢保证万无一失。”梁汉明说,2011年WiFi设备就曾经爆出过WPS(WiFi保护设置)协议的漏洞,黑客只要用密码穷举法(使用计算能力强大的设备将的所有有可能性的密码排列组合都尝试一遍)暴力破解,能够完全攻破WiFi设备的安全防护。“但这样做不仅需要专业的设备,还需要精通相关安全协议的知识,并非一般黑客能做到的,即使能做到,也往往要花上几天的时间。”
但钓鱼WiFi的情况显然完全不同,“妖妃娘娘”称最短只需要15分钟就能搞定用户的账号和密码。“这是因为他本身就是设置了一个人为的陷阱,他攻克的本来就不是WiFi设备的安全防护,而是网络浏览器的软件漏洞,或者说是网络传输协议的漏洞。”梁汉明解释道,在这整个过程中,WiFi设备其实扮演的只是数据传输通道的角色,造成用户信息的泄露并非“WiFi设备惹的祸”,而是用户贪便宜的心理和网络浏览器和网络传输协议的软件漏洞。“在这件事上WiFi设备并没有出现安全方面的问题,是人们怎样使用WiFi上出了问题。”
不过无论是哪个环节出了问题,遭遇钓鱼WiFi有可能导致用户信息泄露的风险却是真实存在,仅这一点,就足够让杜瑞强这样的网络用户忧心忡忡:“一想到有可能连网银的账号和密码都泄露,就不敢再用了!”但在专业人士眼中,这种担忧显得有些过虑。
广东发展银行陈捷表示,目前绝大部分网络银行都已经在页面上加入了安全控件的技术,而且登录页面也多是采用了HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)技术,在终端和服务器之间进行数据传输时采用的是密文形式,使用WireShark之类的软件是无法截取的。
支付宝公司朱建称,目前网络第三方支付账户的登录和使用也大多采用手机账号绑定或者数字证书认证等技术,即使黑客通过“钓鱼WiFi”获得了账户和密码,在没有相关数字证书和绑定账号的手机短信认证的情况下,也是无法对账户资金进行调动的。