中国企业信息化网-中国通信工业协会企业信息化建设委员会

专家建议:免费WiFi莫乱连 窃取隐私不安全

    随着国内智能终端、移动互联网等普及,WiFi也正在形成一个新的智能商业形态。但是,在给用户带来免费WiFi便利之时,“信息安全”犹如达摩克利斯之剑悬挂在上,随时可能威胁着用户的基本利益。而且,由于目前WiFi产业进入门槛比较低,行业也缺乏统一的规范和标准,这种安全问题日益突出。

  “央视只曝光了免费WiFi的一种安全问题,但WiFi的安全问题可以概括为网就是贼、网内有贼、网外有贼、网后有贼的四种形式。”3月16日,商用Wi-Fi产品和解决方案提供商树熊网络副总裁唐文峰接受21世纪经济报道记者采访时表示。

  央视在今年的“315晚会”上现场实验了免费WiFi如何获取用户信息的过程,并建议用户在发送邮件的时候使用手机的3G、4G数据流量进行操作。随后WiFi服务提供商迈外迪进行了针对性的回应,称在组网安全方面,迈外迪商业WiFi网络广泛采用获得国家权威部门和机构认证的网监及各类网络安全设备,能有效防止非法入侵和非法嗅探。

  免费WiFi的安全问题为何突然成为媒体和用户关注的焦点?这和近两年免费WiFi的大量铺设有关。迈外迪CMO夏华剑向21世纪经济报道记者表示,随着智能终端、移动互联网的普及,数据流量也在快速增长,单靠3G、4G已无法满足这种增长。同时,基于WiFi也正在形成一个新的智能商业形态,比如O2O、大数据等。因此,免费WiFi正在国内市场快速扩张。夏华剑透露,目前迈外迪覆盖的公共场所已达4万多个,每日有100多万用户使用迈外迪网络。

  据了解,目前市场上用户可连接的WiFi包括电信运营商提供的公共WiFi,第三方服务提供商(如迈外迪、树熊等)铺设的商用WiFi、商家自设的WiFi以及钓鱼WiFi。

  但接受21世纪经济报道记者采访的几位业内人士均表示,目前WiFi的进入门槛还比较低,行业也缺乏统一的规范和标准。

  WiFi跑马圈地

  继小米之后,去年年底,腾讯和大众点评联合投资了迈外迪;之前,阿里巴巴也宣布和树熊达成战略合作,共同推动全面免费WiFi计划;盛大网络联合创始人、陈天桥弟弟陈大年去年也投资创立了WiFi万能钥匙。一时间,WiFi市场引发关注。

  夏华剑表示,早期的商业WiFi市场主要是思科、aruba等商业级硬件厂商或系统集成商为酒店、高级餐厅等项目铺设WiFi,功能也仅局限在上网和本地行为管理等方面。而迈外迪则是通过“云+端”以及“应用+平台”的方式提供一套完整的解决方案。

  对于WiFi的商业价值,夏华剑称,初期阶段还是流量变现,比如登陆页面的广告;然后,WiFi还可以成为商家和用户之间的桥梁,加入互动社交元素,比如提供点餐、优惠券等服务;同时,还可以为第三方应用,比如大众点评、目的地旅游产品提供服务,作为O2O的一个入口;未来,当WiFi热点覆盖度达到一定规模,可以进行大数据挖掘。“通过一个标准, 用WiFi连接各种智能设备,构建物联网,由此可以形成化学反应,形成新的智能商业形态。”他表示。

  基于对WiFi前景和市场需求的看好,近两年WiFi热点的覆盖度在快速增加。据腾讯安全WiFi联盟提供的数据显示,全球约10%的人口正在使用WiFi,作为全球最大的市场之一,中国目前公共场所WiFi热点覆盖至少超过千万个,这项服务几乎已经成为了公共场所服务范围内的标准配置。

  但同时,安全问题也随之而来。腾讯手机管家提供的《爱蹭WiFi的人必看》报告显示,在Android联网用户中,高达49.75%的人用WiFi联网,同时有49.14%的人担心WiFi的安全问题。

  腾讯手机管家安全专家陆兆华接受21世纪经济报道记者采访时表示,黑客会以不同的技术通过WiFi网络给用户造成安全问题,比如中间人攻击、 DNS劫持和钓鱼网页,窃取用户的各种账号密码以及文档(如图)。

  WiFi小心“有贼”

  “WiFi没普及之前,网络中有价值的数据不多,随着WiFi使用场景越来越多,交互的数据越来越多,网络中的数据也越来越有价值,所以发生安全问题的概率也会增加。”唐文峰表示。

  据了解,目前通过WiFi造成用户安全问题的形式大致分为两种,一种是央视曝光的WiFi连接问题,即不法分子直接铺设WiFi热点,用户连接之后,所有数据都会暴露在不法分子的系统中;第二种是用户使用正规WiFi服务提供商的热点而遭遇黑客攻击。

  唐文峰表示,也可以将WiFi安全问题概括为网就是贼、网内有贼、网外有贼和网后有贼,央视曝光的问题属于网就是贼,用户连接的网络本身就是一个钓鱼WiFi。他称,造成这种后果的原因是普通WiFi只能进行单一的正向认证,即网络认证用户,而缺乏反向的“用户认证网络”。据悉,树熊将通过某种方式解决这一问题,但因产品还未发布,唐文峰拒绝透露。他表示,原理类似于让网络回答口令,用户进行口令确认。

  网内有贼、网外有贼、网后有贼则是在一个正规的WiFi网络环境下,用户在操作时,也可能遭遇攻击。唐文峰表示,网内有贼是指A和B同时在一个WiFi网络中,A可能会受到B的攻击,目前的解决方案是通过技术隔离和密码验证,为每一个在树熊网络中的用户数据进行加密,防止信息被窃取和破解。

  而网外有贼则是指用户通过WiFi网络访问恶意网站时,黑客通过这个网站进行窃取。网后有贼指黑客完全控制了WiFi的设备和系统,后果更加严重。因此,唐文峰表示,只有从云端、设备(路由器)和智能终端整个链条上来进行认证,才会比较安全,单一环节的防范措施都比较脆弱。

  夏华剑也表示,迈外迪采用国际主流的128bit加密算法等系列安全措施,全面保护用户的信息安全。同时,已经向国家申请了有关WiFi安全方面的多项专利,并且在即将发布的WiSmart3商业智能无线路由上首次从硬件层面解决伪SSID/伪IP的隐患。

  目前,除了WiFi服务提供商通过技术进行安全防护外,第三方安全软件也开始关注WiFi使用安全。陆兆华称,安全软件主要还是监测用户有无受到中间人攻击,DNS劫持和访问网站是否是钓鱼网站。他表示,无论用户使用的是否是正规WiFi网络,只要发生异常,安全软件都会检测到。

  但并非所有的WiFi网络提供商都有安全防护措施。据了解,目前一些商家基于成本考虑,购买一些劣质设备,而这些设备提供商并未有严格的安全技术防护标准,因此极易造成安全问题。同时,尽管安全软件可以监测,但并非所有的手机都安装相关软件。

  据21世纪经济报道记者了解,尽管目前各个WiFi服务提供商和安全软件厂商都有自己的安全标准,但整个行业依然缺乏一个统一的标准,该行业的进入门槛依然很低。

  夏华剑透露,作为中国WiFi产业联盟和腾讯安全WiFi联盟的发起单位,迈外迪正在与国家相关主管部门以及行业同道就安全标准等问题积极开展工作,“工信部近期也邀请我们对WiFi安全领域的规范标准进行研究探讨”。(编辑卢爱芳辛苑薇)

  原标题:免费WiFi激增 行业标准阙如 网络防“贼”亟待建立安全规范


关闭