公共WiFi泄密疑云
追問1
釣魚WiFi竊取用戶密碼?
從技術角度來說,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚
在那篇引發公共WiFi安全性問題爭議的網帖中,名為“妖妃娘娘”的樓主詳細演示了如何用“Win7系統電腦、無線熱點和Wireshark軟件”竊取使用UC瀏覽器用戶個人信息和密碼的全過程。
“妖妃娘娘”稱,按照該教程,即使是初級黑客也只需要兩個小時,就能掌握如何在公共場所設置免費WiFi來進行釣魚,熟練后甚至僅需15分鐘就能夠輕松搞定使用UC瀏覽器上網用戶的密碼。而這其中的關鍵在于,UC瀏覽器本身存在安全漏洞,其所謂的“云加速”服務在傳輸用戶信息時使用了明文傳輸密碼,讓泄密成為了可能。
對于這份“釣魚WiFi”的詳細教程,很快就有熱心網友進行了親身驗證,結果證明在iPhone上使用版本號為8.2.1.132的UC瀏覽器,果真可以通過Wireshark軟件截取到登錄Gmail賬戶時輸入的賬號和密碼信息。
看完網友實證帖后,杜瑞強想起自己平時肆無忌憚地在星巴克蹭網,不由得有些后怕。
然而,這還不是讓公共WiFi安全性問題被徹底引爆的關鍵,在“妖妃娘娘”的網帖和隨后網友實證帖被廣泛傳開后,有關“釣魚WiFi”竊取他人信息和密碼的強大能力被越傳越神,“網銀密碼也能輕松搞定”等說法更是引起了眾多網友的強烈不安。
作為UC瀏覽器開發廠商——UC優視公司對于這個問題并沒有太多回避。
該公司CEO俞永福直承,在前期某個版本的iPhone用UC瀏覽器上的確存在漏洞,但很快就推出了新版本的軟件加以改進。不過他同時也表示,只要是遭遇“釣魚WiFi”,用戶上網過程中個人信息和密碼就都有可能被別有用心的黑客獲取,并非只有使用UC瀏覽器的用戶才會有這個風險。
“最大的問題其實是在我們目前網站建設上普遍采用的HTTP(Hypertext Transfer Protocol,超文本傳輸)協議本身的安全性較低。”俞永福的說法獲得了金山網絡安全專家李鐵軍的支持。
李鐵軍稱,從技術角度來說“妖妃娘娘”介紹的釣魚方法是可行的,但這并不止是手機瀏覽器的問題,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚,這種技術被業內稱為“攻擊中間人”。
李鐵軍進一步解釋,如果用戶使用黑客設置的釣魚WiFi上網,那么黑客使用相關軟件監視并記錄用戶在網上進行的所有操作信息,從中竊取有價值資料,比如QQ聊天記錄、郵件內容等,“獲取網銀賬戶密碼的可能性較小,但也并不是完全沒有可能”。