“釣魚Wi-Fi”肆意橫行手機(jī)安全保護(hù)還需“從我做起”

特約撰稿人 | 吳茂林

“釣魚Wi-Fi”肆意橫行手機(jī)安全保護(hù)還需“從我做起”

特約撰稿人 | 吳茂林

事實(shí)上，很多手機(jī)信息的泄露都與用戶自身的使用習(xí)慣相關(guān)，再加上真正的安全手機(jī)并未大規(guī)模普及，這也造成了手機(jī)安全防范的硬件短板。

在今年“3·15”晚會(huì)上，有一個(gè)環(huán)節(jié)是黑客通過“釣魚Wi-Fi熱點(diǎn)”劫持用戶手機(jī)并獲取其內(nèi)部私人信息的現(xiàn)場演示，其結(jié)果讓現(xiàn)場觀眾觸目驚心，也讓手機(jī)安全問題又一次曝光，到底什么樣的手機(jī)才是安全的，難道我們真得只能天天生活在沒有任何安全感的移動(dòng)互聯(lián)網(wǎng)環(huán)境下嗎？我們還敢用手機(jī)銀行嗎？

手機(jī)客戶端支付還是安全的

在“3·15”晚會(huì)的演示環(huán)節(jié)中，現(xiàn)場觀眾只是登錄了一個(gè)模仿日常Wi-Fi熱點(diǎn)的“釣魚Wi-Fi”，個(gè)人隱私就被泄露了——不僅圖片被黑客獲取，瀏覽圖片信息也被截獲，連手機(jī)里的郵箱和密碼都能辨識(shí)出來。這讓很多現(xiàn)場觀眾憂心忡忡，既然黑客通過技術(shù)手段可以獲得手機(jī)里的照片、郵箱和密碼等信息，那么當(dāng)我們在手機(jī)上通過手機(jī)錢包進(jìn)行網(wǎng)上支付時(shí)，存儲(chǔ)在手機(jī)中的賬號(hào)和密碼，是不是也會(huì)很容易地被黑客獲取呢？答案是：不會(huì)。

事實(shí)上，央視“3·15”晚會(huì)上模擬的黑客行為叫做“數(shù)據(jù)劫持”，通過“釣魚熱點(diǎn)”連接上目標(biāo)客戶的手機(jī)，然后目標(biāo)終端上的任何操作和請求的信息流，都將被這個(gè)偽造的熱點(diǎn)截獲，所以才有了上述的表現(xiàn)。至于為什么連用戶手機(jī)中的電子郵箱的密碼都能獲?。渴且?yàn)镋-mail的SMTP和POP協(xié)議都是明文存儲(chǔ)密碼，所以容易被一些惡意軟件和網(wǎng)絡(luò)行為鉆了空子，從而輕易獲取。

但是，諸如手機(jī)銀行、手機(jī)支付寶這類的應(yīng)用都是通過HTTPS等加密方式進(jìn)行數(shù)據(jù)傳輸，包括一些銀行的安全控件機(jī)制，就算數(shù)據(jù)包被不法份子劫取，沒有密鑰的話，它也只是一堆無意義的代碼，無法破譯出真正的密碼。所以，從技術(shù)角度來說，銀行推出的手機(jī)銀行客戶端在安全上是有保證的。

需要特別提及的是，用戶在使用手機(jī)銀行時(shí)存在的不安全因素多體現(xiàn)在實(shí)際操作中，特別是當(dāng)用戶的手機(jī)丟失或者中病毒之后，其手機(jī)中的相關(guān)信息就有可能被泄露。而用戶只要在日常生活中做到以下幾點(diǎn)，基本可以保證手機(jī)銀行的安全。

良好的使用習(xí)慣是安全防范的核心

事實(shí)上，很多手機(jī)信息的泄露都與用戶自身的使用習(xí)慣息息相關(guān)，再加上真正的安全手機(jī)并未大規(guī)模普及，這也造成了手機(jī)安全防范的硬件短板。

提到網(wǎng)絡(luò)不良使用習(xí)慣，當(dāng)屬免費(fèi)Wi-Fi的“蹭網(wǎng)”行為。目前，中國公共場所Wi-Fi熱點(diǎn)覆蓋至少超過千萬個(gè)，Wi-Fi服務(wù)幾乎成為了公共場所服務(wù)范圍內(nèi)的標(biāo)準(zhǔn)配置， 而虛假Wi-Fi“釣魚”則是當(dāng)前免費(fèi)Wi-Fi的主要安全風(fēng)險(xiǎn)之一，今年“3·15”晚會(huì)現(xiàn)場黑客盜取用戶隱私的主要方法也是利用了虛假Wi-Fi“釣魚”的手法，吸引用戶通過移動(dòng)設(shè)備接入該網(wǎng)絡(luò)，然后再通過分析軟件竊取這些接入虛假Wi-Fi熱點(diǎn)的用戶資料，從而破譯用戶的個(gè)人信息。

要想防范日常生活中的這些風(fēng)險(xiǎn)，筆者在此給大家一些建議。

第一，不要在公共場所隨便使用免費(fèi)Wi-Fi登錄，特別是在不清楚Wi-Fi來源的情況下，更不要隨便利用外部Wi-Fi登錄手機(jī)銀行，不要打開來歷不明的短信或彩信，下載安裝軟件時(shí)要謹(jǐn)防“木馬”。建議先確認(rèn)Wi-Fi的擁有者身份，最直接的辦法就是密碼的獲取，無論是從運(yùn)營商短信還是直接詢問擁有人，都可以從客觀上確認(rèn)Wi-Fi的真實(shí)性。

第二，手機(jī)銀行設(shè)立合適的轉(zhuǎn)賬額度。如果平時(shí)只是小額支付或充話費(fèi)，可以把交易額度設(shè)定得低一些。如果需要大額轉(zhuǎn)賬，可以通過網(wǎng)銀臨時(shí)調(diào)高額度，轉(zhuǎn)賬完畢之后再調(diào)回。

第三，注意密碼保護(hù)，最好為支付賬戶設(shè)置單獨(dú)、高安全級(jí)別的密碼，要注意密碼應(yīng)與郵箱、微博等應(yīng)用的密碼有所區(qū)別，防止郵箱被攻破后不法分子利用“撞庫”技術(shù)獲取銀行密碼信息。

第四，盡量用本機(jī)自帶的軟件商店下載軟件，不要下載其它來路不明的軟件，這些APK可能含有“木馬”——讓你手機(jī)如同裸奔。如果手機(jī)丟失，要及時(shí)凍結(jié)手機(jī)銀行相關(guān)功能，避免更大的損失。

另外，手機(jī)用戶連接免費(fèi)Wi-Fi可先通過“騰訊手機(jī)管家”進(jìn)行網(wǎng)絡(luò)安全檢測。安卓版的“騰訊手機(jī)管家”用戶，可對(duì)所鏈接的免費(fèi)Wi-Fi進(jìn)行“DNS劫持”、“ARP欺騙攻擊”、“虛假釣魚Wi-Fi”等多項(xiàng)安全檢測，確保接入的免費(fèi)Wi-Fi安全無風(fēng)險(xiǎn)。

想要安全就要用“安全手機(jī)”

除了軟件防護(hù)和注意日常行為習(xí)慣之外，如果能從硬件上進(jìn)行手機(jī)信息安全的防護(hù)，那么手機(jī)安防工作將事半功倍。目前國內(nèi)主攻安全的手機(jī)廠商主要有酷派、中興、華為等?？崤捎幸豢蠲小般K頓”的新品，提出了“雙系統(tǒng)、硬隔離”的概念，將安全級(jí)別提高到軍事級(jí)芯片加密的水準(zhǔn)。平時(shí)應(yīng)用的智能操作系統(tǒng)與普通的安卓手機(jī)無異，不影響用戶的正常使用；需要安全防護(hù)時(shí)，通過一鍵切換，不到一秒鐘就能進(jìn)入保密模式。在這種模式下，用戶只能接聽撥打電話、發(fā)送短信，任何GPS定位及網(wǎng)絡(luò)訪問全部被隔斷，以此保障用戶的圖片和個(gè)人隱私都不會(huì)被泄露。

中興也推出了“十防”手機(jī)，即防竊聽、防泄密、防跟蹤、防盜、防吸費(fèi)、防詐騙、防病毒、防騷擾、防流氓、防卡慢等十項(xiàng)功能，而且這款“十防”手機(jī)將安全功能根植于系統(tǒng)底層，無需開放Root權(quán)限，大大提升了安卓手機(jī)的安全性。不過，因?yàn)榫窒抻谲浖用嫔系亩贪澹诎踩陨线€是與酷派“鉑頓”的硬件隔離技術(shù)存在一定差別。

另外，蘋果iOS系列也有一套封閉獨(dú)立的系統(tǒng)和基于此系統(tǒng)的安全機(jī)制，相對(duì)于安卓系統(tǒng)的開放環(huán)境而言，蘋果iOS的安全性更高，可以說是天生的“安全手機(jī)”，至少相較于安卓系統(tǒng)而言，使用iPhone手機(jī)進(jìn)行一般性的小額支付在安全性方面更有保障。