近日,有黑客自曝:在星巴克、麦当劳这些提供免费WiFi的公共场合,用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。安全技术人员已经承认,这个方法行得通。
免费WiFi可能导致隐私泄露
这名黑客说,像星巴克、麦当劳等场合的用户一般会用手机上网,但一般要索要密码;自建的WiFi不设密码,可以轻松接入,很多用户会优先选择连接,很容易吸引“小鱼进网”,进而偷窥用户隐私。手机用户如果默认UCWeb设置,上网时的信息更容易被窃取。
国内某知名安全机构的一位工程师说,这个陷阱的确可能奏效。他解释说:“用电脑登录网银、支付宝时,会自动跳转到https的加密网址进行操作。但UC浏览器为了提高访问速度,存在直接将请求协议截留、转至其自身数据库进行中转处理的情况,导致原先加密的密码变成明文发送,帮黑客省去了破解工序。”
中国手机上网用户超过3.56亿
有网友回复,如果网银、支付宝的密码都能这样被窃取,那账户内资金无疑就成了板上鱼肉,任人宰割。
针对这些情况,UC方面在2月21日发布声明,否认有相关漏洞,称公司迅速按照文章内容进行验证,文章所指情况完全无法复现,因此他们认为这是竞争对手刻意抹黑。
UC方面强调:“这一情况的本质是用户访问了钓鱼WiFi,用户一旦访问了钓鱼WiFi,无论手机还是计算机的任何应用都会存在泄露个人信息的风险,与通过何种应用进行访问无关。”
同一天,业界知名的乌云漏洞平台发布微博说,当前无线安全值得关注,特别是这种钓鱼WiFi,存在极大风险。根据最新数据统计,中国手机上网的用户已经超过3.56亿,手机上网安全越发受到重视。
受访工程师支招,如果用户在免费WiFi环境下迫切需要上网,可以通过网银、支付宝的手机APP客户端连接,安全性比用浏览器大得多。