【大话IT】公共场所无密码WiFi很危险：会偷钱？

pipihappy8888

获奖名单已公布：http://bbs.chinaunix.net/thread-4175426-1-1.html

今年的315晚会可谓千呼万唤始出来，足足延迟了40多分钟，可最浓墨色彩的一笔又怎能错过呢？话说蹭WiFi对很多人来讲，是家常便饭了。可当镜头从满屏的“自拍照片”切换到某位嘉宾的电子邮箱账号、密码赫然曝光时，我们顿觉惊慌失措了。央视315晚会的模拟黑客行为被称为“数据劫持”，通过一个钓鱼WiFi热点连接上目标客户的手机，然后目标终端上的任何操作和请求的信息流，都将被这个伪造的热点所截获，所以手机里的照片、邮箱密码被辨识了，说到这里，亲们，有木有吓出一身冷汗呢？

这次315晚会上演示的黑客通过Wi-Fi钓鱼劫持用户手机并获取内部信息的事件，让手机安全问题又一次曝光到前台，到底什么样的手机才是安全的，难道我们是天天生活在像央视315晚会曝光的这样没有任何安全感的移动互联网环境下吗？我们手机上的手机银行还敢用吗？

本期话题讨论：

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？

2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？

3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？

4.相对于Android的开放而言，平台iOS的安全性是否更好些？

5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？

活动时间：2015年3月17日-4月10日

活动奖励：选取获奖会员赠送技术图书一本

seesea2517

热门话题啊~不过我是不关心啦，聊个天不怕被盗啥东西

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？
  吓人是挺吓人的，但现在咱还离得开网络嘛？所以公共场所如果是比较正规的比如机场、大商场的免费 wifi 自然是还算比较放心的使用的。当然如果要用网银或网购什么的还是会考虑切换到 3G 4G 网络比较放心一些，只是聊聊天、看看网站、发发朋友圈、微博什么的那还是不那么紧张的吧，就像去网吧一样交了钱用网吧的网络和机器，安全性更难保障，但还不是一样各种操作，甚至是价值不菲的游戏帐号也得登录不是。

2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？
  不是很懂移动数据网络，想过去也是一样用基站进行的吧，这样的话直接是与网络运营商连接，安全性会可靠点。以前有听过“伪基站”，是不是也有可能伪装出 4G 来，当然犯罪分子这样的操作反而免费 wifi 来的有吸引力而更加成本高和风险高了，我想还是比较可以放心的用 4G 吧。

3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？
  正规的购物平台都会用安全连接会使得获取信息更难一些。
  
4.相对于Android的开放而言，平台iOS的安全性是否更好些？
  对于用户安装的应用来说，肯定是苹果系统的应用来得放心，像我们公司放一个应用，审核几个月才出来，一些小细节也会被打回，可见还是审得很细致的。
  如果说对于连接钓鱼网站的话，那不管是什么系统这网络也是外面的环境了，它们受到的威胁应该差不多吧。
  
5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？
  这个不熟悉，只是看它的宣传有说到达到五级认证的原生权限管理系统可以对应用进行有效的控制，特别是对隐私和费用的保护；还能识别诈骗信息和骚扰信息；以及有远程管理手机的功能。

forgaoqiang

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？
315晚会也不可避免的和传统媒体报道一样，有夸大事实的现象存在，吓到的不少对实际情况不了解的业外人士和群众，只要具有一定的知识经验，避免在钓鱼网站上输入敏感信息或者安装恶意程序，使用公共场所的免费wifi完全没有问题。关于这个问题我在ChinaUnix博客上写了一篇博文可以作为参考，欢迎发表评论和意见：
315 无线网络没有密码不安全？



2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？
抽样的数据的可信度先不做评价，存在风险这个名词本身需要讨论下，这里的风险指的什么，4G数据网络理论上又运营商运营，不会像传统wifi那样是被很多个人或者公司运营，不会出现钓鱼等风险，但是个人信息问题就不用说了，只是被谁采集的问题。


3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？
目前安全传输原理上不存在漏洞，之所以被盗取网页级别的账号密码，那是因为用户自己在钓鱼网站输入了对应的信息。对于客户端是不会出现这个问题，设计良好的客户端绝不会在网络中发送明文的敏感信息，即时被截获也是无意义的数据，因此不会出现这样的安全问题。至于用户下载了恶意的客户端程序，恶意程序完全可能劫持手机的所有操作，包括验证短信支付等等，如果手机都是别人控制的话，基本上毫无安全可言了。当然这和免费wifi没有必然联系。

用户会中招基本上就是以下环节出了问题：
①钓鱼 phishing
可以进行dns劫持等操作，用户比如登陆淘宝、网银其实登陆的根本不是官方站点，于是用户乖乖的将自己的密码输入了进去。这个其实还是比较好防范的，钓鱼网站证书肯定是无法通过验证的（对于普通用户分辨难度太高），可以直接使用客户端，大厂商设计良好的客户端没有安全问题。
②恶意应用 malicious app
这个可以针对windows PC系统或者Android智能手机系统，对于Linux和iOS（iphone等）很少有。欺骗用户下载一个应用，然后应用获取整个手机的权限（通讯录、收发短信、接打电话），手机又经常是各种账号的最后验证手段。

无线有没有密码本身和安全没有直接关系，用户之所以中招还是上面的两个原因（钓鱼、恶意应用），在这些网络下登陆邮箱、网银是没有问题的，因为数据本身在发送前就已经加密过，只要确定登陆的的确是官方站点，就不存在安全问题。


4.相对于Android的开放而言，平台iOS的安全性是否更好些？
这个是必然的，一个封闭的平台是一个可控的平台，安全性肯定要好很多，只要是app store上的应用，大多数是有安全保证的（不是100%）。


5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？
这个和aliyun自己的云盾等安全产品一样，的确是做了一些安全防护的，更优化的安全设置等等。但是很大的一个问题就在于它们几乎都是连接云端的，这就意味着它需要联网，而且有控制用户手机的能力，会对一些用户浏览的连接进行检查、会对一些来电号码、短信进行识别和判断，对于常见的恶意程序也有对应的特征库可以避免用户中招。

donalds2008

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？
WiFi安全问题绝对不是危言耸听，无线信号在公共空间中是广播式的，接入认证和加密手段是安全基石。公共场合用WiFi尽量选择商家公开的SSID接入，而且与财务安全相关的应用尽量不用，基本就是浏览网页。

2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？
4G应该是相对安全，但是是否存在“伪基站”这种“劫持”手段，现在至少还没碰到。仅就目前而言，电信级网络的安全性肯定要高于普通公共WiFi。

3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？
答案是肯定的。通过抓包，拿到一堆加密后的报文。要想破解密码，下一步就是研究该客户端的加密机制，因此，安全性依赖于软件开发厂家的安全编码能力和投入。

4.相对于Android的开放而言，平台iOS的安全性是否更好些？
在OS层面，相对而言，封闭的iOS一定程度上提高了安全度。信息共享、API接口开放有相对严格的管理机制。对于解锁后的iOS设备同有root权限的Android设备一样,安全性基本靠用户自己的火眼金睛和自我管理啦。

5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？
云OS没玩过，但是只要基于网络，安全本质都一样，更多的防护功能要么部署在云端，要么在客户端，只是安全相关的资源、负载在哪里而已。还是那句话，安全只是相对的。

lsstarboy

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？
315晚会说的安全问题是真的，绝对真实，不要小看了黑客们的力量。在公共场所使用免费的wifi，那要看干什么事情，聊聊天之类无关痛痒的事还是可以的，但是真要用来办公或网购、银行啥的，危险性还是比较大的。


2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？
其实在头脑中就应该有“不安全”的意识才行，没研究过4G信号，不太清楚，但按常理推，应该比3G加密强度更大一些才对，破解3G信号就不是很容易，普通黑客很难在短时间内完成。

3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？
当然会了。明文的用户名和密码就不说了，wifi本身就是广播式的，听包的难度跟逛街一样容易，交换机听包还要弄个arp攻击才行，wifi听包不需要太高的技术。至于https，如果从一开始协商的时候就听包，也不是很难的事情，并且访问https反而会给黑客们一点小提示：我要访问加密的站点了，你可以留意了。有人可能会说软件客户端会做一些加密，但是这种加密手段被破的可能性太大了，看游戏行业就知道了，网游的加密应该是比较厉害的，但游戏外挂是怎么来的呢？
再重复一遍，在大家都访问普通站点的看新闻，聊天的时候，突然一个不常规的访问，反倒是给黑客们一个游标信号。

4.相对于Android的开放而言，平台iOS的安全性是否更好些？
ios的审查严格，如果有人反映，会对软件采取措施，所以要好一些。ios就是精品专卖店和百货市场的关系，精品店也会有仿品，也不能排除坑——天猫就没有假货吗？这其实是一个命题。


5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？
没用过！我非常不信任第三方的系统，流氓软件成堆成堆的，用了才不安全，不用反倒更安全，就像PC上的杀毒软件一样，稍微有点安全意识的话，装上360半年重装，裸奔可以坚持两三年——搞过安全的都知道，就不再说了吧。

chenyx

好活动,沙发支持下

Lily_elf

我忽然想起了小时候了   呵呵  考试题 ：   会不会啥啥啥呢  为什么？   好怀念啊~

xzp_ater

这个跟WiFi有嘛关系啊，你用有线网络也是一样，所有的路由器，防火墙，运营商的网络设备都有你的所有网络操作和信息流。
关键是就算是用https又怎样，还是照样劫持和破解，我们直接调试就是这样劫持的。
你能不用，只能指望程序有额外的自定义加密协议，但是这个一般都缺失。

action08

yunos推广插件太多，感觉很浪费

action08

yunos推广插件太多，感觉很浪费

freedom2k

是挺吓人的，尤其是有些人有意识的设置免费WiFi来盗取别人的账号信息，这个很早之前就听说过。还是用自己的移动网络安全些，现在流量也便宜了。即使是接入公共场合的Wifi一样会存在被劫持的可能。

dengbao2001

1.话说315晚会所说的安全问题真这么吓人么？您还敢在公共场所使用免费的WiFi么？

幸好是专业人员，还是知道这个事情的，对于非专业人员来说肯定比较吓人的。 一般要用的话，也是用比较有名气的wifi，比如星巴克这之类的

2.一份抽样安全调查数据显示，全国8万个公共WiFi中有21%存在风险。4G数据网络是否存在公共WiFi的不安全现象？
如果是运营商提供的4G，相对安全。没有绝对的事情，国家层面的监控，是无法避免的

3.这种钓鱼WiFi可以截获我们手机的电子邮箱账号和密码，那么会不会盗取我们手机客户端购物时的银行密码和支付密码呢？为什么？

普通的客户端，如果明文传输帐号和密码，一般很容易截取。 手机软件客户端如果能做到与服务器的连接是加密的，相对安全点

4.相对于Android的开放而言，平台iOS的安全性是否更好些？

不越狱的情况下，用大厂的手机还可以。越狱了，就无法保证了

5.百度虽然告别了云OS，不过阿里的YunOS却被广泛用于智能手机、智能汽车、智能机顶盒、智能平板等硬件上，值得一提的是，YunOS通过了工信部5级安全认证，那么它究竟与米4相比，提供了哪些更好的安全防护功能呢？
没用过安卓手机，不太好发表意见。