• QQ空间
  • 收藏

Fi不要使用支付类应用

| 2020-09-29

  技术标准存在缺陷,专家建议——

  接入公共Wi-Fi不要使用支付类应用

  最近,关于Wi-Fi的新闻总让人有些忧虑。前不久,央视3⋅15晚会曝光了Wi-Fi探针盒子,它可以迅速识别出用户手机的MAC地址,在神不知鬼不觉中进行所谓的用户画像。近日,在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上,又有安全专家指出了Wi-Fi的重大新问题——基于WPA/WPA2的防止重放机制(PN号)设计上存在缺陷,攻击者可以利用这一缺陷,精确攻击使用某个Wi-Fi网络中的一个或几个用户。

  这一问题由阿里安全猎户座实验室资深安全专家谢君和高级安全工程师汪嘉恒在大会上披露。

  谢君介绍,WPA全称为WiFi Protected Access,有WPA、WPA2两个标准,是一种保护无线网络Wi-Fi存取安全的技术标准。目前,WPA2是使用最广泛的安全标准。不过自2004年推出以来,已陆续有研究人员指出其存在的缺陷可导致安全问题。

  “我们这次发现的缺陷更加底层,攻击者只需知道目标网络的密码,无需接入目标网络即可直接发起攻击。”谢君告诉科技日报记者,攻击者可以利用防止重放机制的设计缺陷,将用户和接入点之间的连接直接劫持,转化为中间人攻击。具体来说,就是攻击者可监听用户与Wi-Fi接入点的通信,在合适的时机发送伪造的数据或者劫持用户与Wi-Fi接入点的连接,篡改正常的通信内容,导致用户访问交互的数据中途被篡改。

  通俗理解,这种攻击可以欺骗用户访问假的网站,甚至篡改真实网站的内容。“比如原来网站显示的是不要把验证码告诉第三方,我可以给你改成请把验证码发送到xxxx之类。”谢君说。如果访问虚假的网站被钓鱼,用户的账号密码就有被窃取的风险,进而有可能遭受经济损失。

  发动攻击的可能性有多高?答案是,近乎100%。只要Wi-Fi密码被攻击者知晓,攻击者即可对接入网络的任何一个端发起攻击。不过,目前来看,利用这一防止重放机制设计缺陷来进行攻击的技术门槛非常高。因此,用户也不用太过紧张。谢君建议,接入公共Wi-Fi后,还是要尽量避免使用敏感应用,比如银行类或者支付类产品,或者登录某些需要输入用户名和密码的网站。“这种攻击只能诱使用户输入敏感内容,而不能从什么都不做的用户那里窃取信息,只要小心即可。”

  当然,还有更简单直接的风险规避方式,那就是在公共场所尽量避免使用公共Wi-Fi,尽量使用移动网络上网。

  谢君表示,保护Wi-Fi安全需要行业各界共同努力。去年6月国际上已推出新标准WPA3协议,他呼吁应加速推行这一新标准的普及落地,更好地保障用户上网安全。

2020-10-14
人物报道 人民日报:电商“扫黄”当协作 必须得到有效治理
近日,随着全国“扫黄打非”办公室的介入,一些电商平台的“涉黄涉暴”现象受到查处。有关电商平台宣称紧急排查并关闭涉事店铺、下架违规商品,而一些媒体指出,“涉黄涉暴... <详情>
2020-10-14
人物报道 WeGame多福利来袭 圣诞狂欢High爆开启!
一年一度的圣诞节即将来临,现实生活中在圣诞树下与家人、朋友、恋人共进圣诞晚餐,而在游戏的世界中,WeGame平台为了回馈广大玩家的喜爱,从12月21日-12月2... <详情>
2020-10-14
人物报道 约十亿只蝴蝶经以色列向欧洲迁徙
原标题:约十亿只蝴蝶经以色列向欧洲迁徙   日前,成群来自沙特、波斯湾与以色列的小苎麻赤蛱蝶结队继续北飞,经塞浦路斯、土耳其到欧洲寻找食物。据悉,由于今... <详情>
2020-10-06
人物报道 从进口食品切入海淘,创始人却说跨境电商是个伪命题
[ 导读 ] “单纯的跨境电商是伪命题”你绝对想象不到这句话出自跨境电商创业者口中。肖欣在和网交流中反复强调:鲜LIFE虽然是从跨境电商切入的,但定位一直是精... <详情>
2020-10-06
人物报道 小米新机通过国内3C认证:或为红米Note 6
­  昨日两款式型号为M1901F9E、M1901F9T的小米新设备刚在国家3C认证数据库中现身。按认证信息推测,它可能是即将到来的红米系列新手机。 ... <详情>
2020-10-06
人物报道 打造学生追捧的实验“神器”
6月18日,在陕西师范大学科学教育仪器研究开发中心实验室,张宗权向记者介绍他研发的光学系列实验仪器。1997年—2007年,英国作家J·K·罗琳创作的系列小说《... <详情>