有篇文章,对大众科普“只要使用银行和支付宝官方 App,即使使用公共 Wi-Fi 也是安全的”。这两天,有两位技术大牛针对“蹭 WiFi 会不会导致银行密码被盗”起了争执。
袁哥认为那篇科普很糟糕,他的观点是:不安全的 Wi-Fi 环境下,例如你登录的是黑客设置的 Wi-Fi,上网过程中,有很多方法能不知不觉地劫持、攻击你,导致严重后果。
云风则认为那篇科普很好,质疑袁哥:在银行系统没有安全漏洞时,虚假 Wi-Fi 如何窃取用户密码?如果想科普蹭免费 wifi 增加了设备植入后门的风险,尽可以举个简单的例子说明如何办到的。某个特定系统有怎样一个漏洞,这个漏洞如何让攻击者植入的后门,怎样的设备会没有修补这个漏洞。
我技术不好,而且这二十年来的兴趣都在产品上,对技术本没有发言权,但好在这是科普,作为被科普的对象,还是可以说几句的。
先说几个事实:
类似 wifi-pineapple 这样的设备(https://shop.hak5.org/products/wifi-pineapple)很容易获取和部署。其核心功能是中间人攻击(Man-in-the-Middle, MitM),通过模拟信号强的无线接入点诱使附近的无线设备连接。
我草草搜了一下,NSA 在 2021 年发布的公共场所无线设备保护指南(https://t.co/n4w6u7KxuO)里提到“通过公共 Wi-Fi 发送的数据——尤其是不需要密码即可访问的开放公共 Wi-Fi——容易被盗取或操纵。即使公共 Wi-Fi 网络需要密码,它也可能不对经过的流量进行加密。如果 Wi-Fi 网络确实对数据进行了加密,恶意行为者如果知道预共享密钥,也能够解密(在不安全的网络通信中窃听)。恶意行为者有时还可以迫使网络使用不安全的协议或过时的加密算法(降级到不安全的协议)。此外,恶意行为者还可以设置一个假的接入点,模仿附近预期的公共 Wi-Fi,这导致该行为者能够访问通过该网络发送的所有数据。未加密的网络流量或容易被解密的流量可以使用开源工具捕获,暴露敏感数据。这包括但不限于个人和公司的登录凭证(网络嗅探),这可能直接导致更多的安全问题。”
再说一下部分观察:
我见过很多本应安全的设计,配合上或者错误的配置,或者弱智的操作者,或者滞后的运维,或者无知的用户,进而导致的安全事件。有些人见过一两家银行的专业,就误以为所有银行系统固若金汤、运维人员专业不出错、软硬件供应商服务完美到位、用户聪明机警。这很理想但不可能。因此,一个人现在使用一家银行安全,不代表全部人全部银行,全部时候安全。
我见过的安全设计、系统管理,都秉持最小化原则。比如:不需要的服务与端口不开。
最后说我的观点:
蹭 WiFi 有更大概率扩大被攻击面。一位专家,写科普文章告诉大家“只要使用银行和支付宝官方 App,即使使用公共 Wi-Fi 也是安全的”,不是负责任的行为。
现在的移动流量普遍是充足的,价格也算平易近人,普通老百姓,没啥必要非得连公共 Wi-Fi。
所以,我自己的使用习惯是:一般情况下,哪怕出差、住酒店,我用电脑,上网也是连自己的手机热点。因为我不太愿意无谓地增加被入侵的机率。最小化,最安全。
--
欢迎你加入我的知识星球,我们一起聊聊创业、产品、运营、阅读。微信识别二维码,付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款。——>星球创业笔记传送门。