前段时间爆发的Wi-Fi漏洞门继续发酵。曾几何时国内希望广泛使用运营商WLAN热点和国产WAPI标准以增加WLAN热点使用的安全性,但近日有业内专家指出,实际上即使采用上述两者,均不能降低恶意软件和钓鱼网站对用户的风险。
如何降低风险,又不影响用户体验,成为业内安全专家亟待解决的问题。
运营商热点亦不安全
前段时间有媒体爆料称,在星巴克等公共Wi-Fi热点中,有黑客透过利用一台笔记本电脑和黑客软件,简便地搭建一个钓鱼Wi-Fi热点,然后将这个热点修改成一个与官方网站类似的名称,不设置密码,坐等用户登陆该钓鱼Wi-Fi,黑客即可获取用户私隐信息。事件曝光后,有报道建议,用户在公共场所尽量采用运营商提供的WLAN热点以降低风险。不过,近日有不愿意透露姓名的资深技术专家向记者透露,运营商WLAN其实也不能保证百分百安全。
“只要进入同一热点范围就会存在风险。”该技术专家向记者表示,通讯运营商的WLAN热点与咖啡厅的WLAN热点并没有区别,其链接基本上分为两个过程:第一步,先接入“WLAN网络”;第二步,对外连接公网。 “当所有人都接入网络呆在一起,此时就可以进行监听。” 而此前繁琐的利用手机获取密码的过程,仅仅是接入公网的过程,也无法防止监听的发生。
该专家表示,三大运营商今年每家都会建设100万个WLAN热点,黑客只要和用户同时接入任何一个热点上网,理论上就能透过技术手段监听。
WAPI安全性几乎为零
值得关注的是,中国WLAN建设实际上是采用被国内专家誉为“更加安全”的国产WAPI标准。但上述专家透露,WAPI标准对于WLAN安全性的提升功能几乎为零。
据了解,所谓WAPI(WLAN Authentication and Privacy Infrastructure)的提出最初完全是基于安全性的考虑。由于此前大部分WLAN采用的是安全性不高的802.11B作为无线传输协议,很容易被黑客截取数据包,因此才采用国产的WAPI技术。根据公开资料,WAPI采用特殊算法,具备特殊的加密保护,安全性和兼容性更高。
不过,该技术专家表示,即便是采用WAPI技术,根据理论和实验发现,手段与传统Wi-Fi没有区别,黑客只需要将用户诱骗到同一个热点中, WAPI依旧无法防备钓鱼网站的安全性问题。
手机难用高安全技术
目前越来越多人采用手机链接WLAN上网,由于许多手机,尤其是中低端智能手机在硬件和软件上远远不如传统电脑,这导致采用更安全的加密方式变得不可能。专家表示,要安全就要加密,但加密有可能导致使用缓慢。