新华社杭州 3 月 26 日电 餐馆、商场、咖啡店……公共 WiFi 已成为公共场所提升服务质量的一项措施。近日,有关信息安全专家提出,共享密码公共 WiFi 上网存在新风险,攻击者可能盗取用户账号密码。
据悉,阿里巴巴集团安全部两位专家研究发现了 WiFi 的重大新问题:基于 WPA/WPA2 的防止重放机制的设计上存在一些缺陷,用户在使用公共 WiFi 时,攻击者可以透过这一缺陷,精确地攻击某个 WiFi 网络中的某一个或某几个用户,导致用户在浏览网页时遭到 “钓鱼”,进而造成信息泄露或经济损失。此次发现的缺陷更加底层,攻击者只需要破解目标网络密码,无须接入即可直接发动攻击。
WPA 全称为 WiFi Protected Access,有 WPA、WPA2 两个标准,是一种保护无线网络 WiFi 存取安全的技术标准。目前,WPA2 是使用最广泛的安全标准。
阿里安全猎户座实验室资深安全专家谢君解释说,当用户在一些公共场所,用共享密码 WiFi 上网时,攻击者可以透过目前标准的一些缺陷,引导用户到假的网站,甚至篡改用户正在访问网站的内容。餐厅、酒店等公共场所的 WiFi 是安全隐患较大的场景。
针对这一风险,阿里安全专家汪嘉恒建议,用户在公共场所可尽量避免使用公共 WiFi,尽可能使用移动网络也就是 4G 上网。如果要使用安全度较低的公共 WiFi 也要避免登录手机银行等容易泄露关键密码等信息的应用,同时启动一些防钓鱼软件。与此同时,一些专家还呼吁,行业各界共同努力,比如加速推行新标准 WPA3 协议的普及落地,替代 WPA2,保护用户安全。
微信扫一扫