专家预警公共WiFi存缺陷 登录网银尽量使用4G
新华社杭州3月26日电(记者吴帅帅、张璇)餐馆、商场、咖啡店……公共WiFi已成为公共场所提升服务质量的一项措施。近日,有关信息安全专家提出,共享密码公共WiFi上网存在新风险,攻击者可能盗取用户账号密码。
据悉,阿里巴巴集团安全部两位专家研究发现了WiFi的重大新问题:基于WPA/WPA2的防止重放机制的设计上存在一些缺陷,用户在使用公共WiFi时,攻击者可以透过这一缺陷,精确地攻击某个WiFi网络中的某一个或某几个用户,导致用户在浏览网页时遭到“钓鱼”,进而造成信息泄露或经济损失。此次发现的缺陷更加底层,攻击者只需要破解目标网络密码,无须接入即可直接发动攻击。
WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线网络WiFi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。
阿里安全猎户座实验室资深安全专家谢君解释说,当用户在一些公共场所,用共享密码WiFi上网时,攻击者可以透过目前标准的一些缺陷,引导用户到假的网站,甚至篡改用户正在访问网站的内容。餐厅、酒店等公共场所的WiFi是安全隐患较大的场景。
针对这一风险,阿里安全专家汪嘉恒建议,用户在公共场所可尽量避免使用公共WiFi,尽可能使用移动网络也就是4G上网。如果要使用安全度较低的公共WiFi也要避免登录手机银行等容易泄露关键密码等信息的应用,同时启动一些防钓鱼软件。与此同时,一些专家还呼吁,行业各界共同努力,比如加速推行新标准WPA3协议的普及落地,替代WPA2,保护用户安全。