黑客四部曲:公共WiFi堪比“毒瘤”
作者:网络转载 发布时间:[ 2015/12/31 9:54:22 ] 推荐标签:公共Wifi 黑客
我们看到,有越来越多的用户都登录到了这个伪造的WiFi上。这个黑色小装置似乎有着某种不可抗拒的诱惑力。
现在,已经有20台设备连接到了这个伪造的WiFi上。只要史劳博想要这样做,他完全可以毁掉这些连接者的正常生活——他能够盗取用户的密码、窃取他们的身份信息、或是获取他们的银行账户等等。史劳博表示,他一会儿会告诉我如何去操作。而我也会允许他窃取我的隐私,以证明他确实有能力去窃取任何连接到WiFi网络上的人。事实上,几乎所有的智能手机或笔记本电脑所收发到的信息都会被截取到。
有许多人都认为,公共WiFi网络存在安全隐患早已不是什么新鲜事了。然而,已经有诸多的事例证明了这种强调再多重申多少次都不为过。
目前全球有超过14.3亿的智能手机用户,其中有1.5亿的美国用户;超过9200万的美国成年人都拥有一台平板电脑,超过1.55亿人拥有自己的笔记本电脑。不仅如此,每年全球对于笔记本电脑和平板电脑的需求也一直在增加。在2013年,全球笔记本电脑和平板电脑的销售量分别达到2.06亿台和1.8亿台。基本上每个人都会或多或少的连到公共WiFi网络上,无论是在喝咖啡,还是在坐火车,还是在酒店里。
值得庆幸的是,一些互联网服务提供商所使用的安全防护做得还是比较好的,比如一些电子邮件和社交媒体服务商会采用与同行业竞争对手相比安全性更高的加密方式。但是,在我花上的时间与史劳博在大街小巷逛上一圈之后发现——几乎所有连接到公共WiFi网络的普通用户都可以轻易的被黑客窃取到私密信息。威胁情报咨询公司Risk Based Security的一项研究显示,在2013年,全球有超过8.22亿的个人信息被窃取,这些信息包括信用卡号码、出生日期、健康医疗信息、电话号码、社会保险号码、地址、用户名、电子邮箱、姓名甚至是密码等,这些被窃个人隐私记录中有65%都来自于美国的用户。另据互联网安全公司卡巴斯基实验室的研究报告显示,在2013年,全球大约有3730万的用户(其中包括450万的美国用户)遭到网络钓鱼或者非法监听,他们的支付信息被黑客从电脑、智能手机以及网站中肆意窃取。
越来越多的安全报告都显示出,数字身份欺诈的问题正在日趋严重化。网络黑客和网络犯罪分子现在的作案技术非常的高超且复杂。而开放的、不受保护的公共WiFi的日趋流行成为了他们非常喜欢利用的目标和日常的作案渠道。也难怪荷兰网络安全中心(这是一个隶属于荷兰公共安全与司法部的一个部门)提出了如下建议:“建议民众不要在公共场所使用开放的WiFi网络,即使是真的需要连接到这种公共的WiFi网络,也一定要谨慎或是避免在这种网络环境下从事机密工作或是涉及到金钱的任何行为。”
史劳博称自己是一名“有道德的黑客”,是一个好人——他只是想通过自己对黑客技术的爱好,揭示出目前互联网技术中存在的潜在危险。他也曾为个人或是公司如何保护信息的安全性提出过专业性的意见。而他这样做,也是想要告诉人们:他所使用的窃取手段其实门槛非常的低,但是造成的危害却非常的大。事实上,这种窃取手段对于黑客来说只是非常低级的技术,只不过是“小孩子过家家”而已:因为所使用的硬件设备价格非常低廉,用于拦截网络信号的软件也非常易于使用并且可以非常轻松的下载到。“你所需要做的,只是花上70欧元去购买这些设备。只要智商正常再加上一点点耐心,随便一个人都可以轻易的窃取到用户的信息。”史劳博说,“当然,为了避免让人们学坏。我将不会从技术方面更多的透露关于搭建这个伪造WiFi所需要设备、软件或是应用的更多细节。”
黑客行动之第二章——窃取他们的姓名、密码以及性取向
背上双肩包,我和史劳博来到了另一家以拿铁拉花精美而闻名的咖啡屋。这里是随身携带笔记本电脑的自由职业者们的好去处,以此为工作场所的人们正目不转睛地盯着他们自己的笔记本显示屏。
史劳博开启他的那个装置。按照与之前相同的步骤,过了大概1、2分钟有20台左右的智能设备连接到了伪造的WiFi上。我们再次看到了设备的Mac地址、网页的历史访问记录甚至是真实姓名。在我的要求下,史劳博进入了下一个环节。
史劳博启动了另一个程序(这个程序同样也能够在互联网上随意下载到),通过该软件,他能够窃取连接到伪造WiFi的智能设备中的更多信息——比如说,我们能够看到连到网络上的其中一部智能手机的具体型号(三星Galaxy S4),还有各个设备中的语言设置,以及各个设备所使用的操作系统的版本信息(iOS 7.0.5)。如果一台设备的操作系统没有及时更新的话,那么也意味着,黑客能够通过嗅探系统漏洞或者系统Bug来尝试获取到该系统的访问权限,从而彻底接管该设备的核心控制权。在这次的实验中,我们惊人的发现——周边所有用户的智能设备的操作系统都没有安装新的补丁。也是说,不怀好意的黑客可以轻易的在互联网上搜索到这些系统版本中存在的某个漏洞,进而取得对该智能设备的控制权。
现在,我们现在可以监视到周围设备的上网情况了。我们看到有人正在用MacBook浏览Nu.nl网站。并且我们还看到,很多用户都在通过WeTransfer应用来发送文件。其中还有一些用户登录了Dropbox,还有一些用户正在玩Tumblr。我们还注意到,一些设备刚刚登陆了FourSquare(移动SNS服务社区),于是乎,这台设备的主人的真实姓名也显示了出来,在Google搜索他的姓名之后,我们找到了他的照片,与咖啡厅中的人一一比对之后,发现他坐在离我们只有几英尺远的地方。
隐私信息像洪水一般涌入到了我们的设备之中,即使是那些不怎么经常使用网络的用户,隐私信息同样也被暴露了出来。很多电子邮件客户端和移动应用客户端都在一直在不停地与服务器进行着数据交换,以此来获取新的信息,而我们完全可以将这些信息窃取过来。而对于某些特定的设备或是电子邮件客户端而言,我们甚至能够了解到该用户发出去的邮件内容,以及邮件发送到的服务器的地址。
而现在,我们所获取到的信息已经变得更加私密了。我们看到,其中一位用户的智能手机里安装有同性恋交友应用Grindr,我们还能看到这位用户的手机型号(iPhone 5s)以及他的真实姓名。我们停了下来,没有再继续深究下去,但如果我们真的想要去找到身边这个同性恋者到底是谁的话简直是易如反掌。此外,我们还看到了有一名用户的手机正在试图向俄罗斯的服务器发送密码,我们同样可以做到把密码拦截下来。
黑客行动之第三章——窃取他们的职业、爱好以及困扰
许多的移动应用、PC程序以及网站都使用了加密技术保护。这些技术能确保信息在收发过程中不会被未授权的人非法访问。但是,只要用户的设备连接到了史劳博所搭建的伪造WiFi网络上,借助解密软件的帮助,这些安全加密技术将轻易被绕过。
让我们感到意外的是,我们看到了一个应用程序正在向一家网络广告公司兜售个人信息。我们看到这些信息包括有个人定位数据、手机技术信息、WiFi网络信息等。此外,我们还看到了另一个人的真实姓名,她正在浏览社交美味书签网站Delicious。Delicious允许用户分享自己感兴趣的网址书签。在原则上,该网站是提供给用户以公开分享的平台,但是我们都有这种偷窥欲,我们想要知道我们到底能够在这个信息的基础上在多大程度上了解这个女人。
于是,我们先在Google上搜索了她的姓名,这能让我们通过搜索出来的照片结果直接判断出这位女士坐在咖啡屋的哪个位置。我们了解到,她出生于欧洲的另一个,近才搬到了荷兰。通过Delicious网站的记录我们发现,她近正在浏览荷兰语培训课程网站,而且她还收藏了有关荷兰语整合课程的网站。
在不到20分钟的时间内,我们了解到了距我们10英尺之外的那位女士的相关信息。这些信息包括她的出生地、读过的学校、对瑜伽的热爱,而且她还收藏了一个治疗打呼噜的网站。她近刚刚去过泰国和老挝,并对于挽救关系的网站极为感兴趣。
史劳博还向我演示了一些比较高级的黑客技巧——通过手机上的某个应用程序,它能够替换任何网站上任意的特定词汇。例如,我们选择将一个网页上的Opstelten(一名荷兰政治家的名字)全部修改成了Dutroux(一名被定罪了的连环杀手的名字)。我们测试了一下,发现真的生效了。此外,我们还尝试了另一个高级的黑客技术:任何人所要访问的网站图片都可以被史劳博用他想要的图片替换掉。这听起来挺好玩的,是个不错的整蛊方式。通过这个技术,我们甚至可以将儿童色情图片弄到别人的手机上。当然,这是一种犯罪行为。
黑客行动之终章——截获密码
我们又来到了另一家咖啡馆。我向史劳博提出了后一个请求——那是请他真正地窃取一次我的隐私——用坏的方式。他让我访问Live.com(微软的电子邮件服务网站),并随意注册一个用户。在几秒钟之后,我刚刚键入的信息出现在了他的画面上。“现在,我有了你的电子邮件账户的登录信息,”史劳博说,“我会做的第一件事是更改这个邮箱账户的密码,并对你的其他在线服务账户使用“忘记密码”服务。大多数人都会使用相同的电子邮件地址来绑定所有的服务,而那些新的密码将被发送到你这个被我黑掉的邮箱中,这也意味着你的这些账户全都将被我黑掉。”随后,史劳博按照同样的流程将我随意注册的Facebook帐号的帐号密码也截获了。
史劳博在此之后又向我演示了另外一种高级的黑客技术——网页访问自动转移。例如,每当我尝试访问我的网上银行页面时,史劳博会通过某个高级黑客应用程序将我当前所有访问的页面重新定向到他自制的页面上来。乍一看,他自制的页面和我即将要访问的网上银行页面几乎一模一样。但这是典型的钓鱼网站,黑客称这技术为DNS欺骗。我虽然知道这是钓鱼网站,但我还是将信息输入了进去。短短二十分钟的时间里,史劳博破解了我所有的登录信息,包括Live.com、SNS银行、Facebook以及DigiD的账户和密码。
经过这一次与史劳博的咖啡厅之旅后,我以后再也不会连接没有采取任何安全措施的公共WiFi网络了。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系SPASVO小编(021-61079698-8054),我们将立即处理,马上删除。
相关推荐
彭博:WiFi将退出历史舞台,无限流量大势所趋Facebook在印度欲推Express Wifi收费网络计划全球23家运营商联手推免费公共WiFi,中国移动在列“免费WiFi”不免费:蹭网后无线密码被分享成常态功耗暴降至万分之一,新WiFi技术即将上市速率高达4.6Gbps:Intel携手高通力推802.11ad WiFi纽约部署免费千兆WiFi:30秒下一部电影投资10亿元:海南航空宣布将给100架飞机装WiFi5G通信技术能否终结商用WiFi?全新WiFi技术问世:耗电量大减纽约超强公共WiFi将运营:网速可达1000MBps巴黎恐袭后,法国欲禁止公共WiFi和Tor网络触目惊心:“蹭WiFi”每年导致的经济损失达50亿元传输速度可达1GBps,LiFi完爆WiFi当考勤遇到“互联网+”,WiFi打卡让员工叫苦连天WiFi安全测试工具、蹭网利器?WiFiPhisher
更新发布
常用的选择回归测试的方式有哪些?
2022/6/14 16:14:27测试流程中需要重点把关几个过程?
2021/10/18 15:37:44性能测试的七种方法
2021/9/17 15:19:29全链路压测优化思路
2021/9/14 15:42:25性能测试流程浅谈
2021/5/28 17:25:47常见的APP性能测试指标
2021/5/8 17:01:11系统性能测试及调优前期准备
2021/4/15 14:41:29国内比较好用的5款测试管理工具
2021/3/25 17:23:31热门文章
常见的移动App Bug??崩溃的测试用例设计如何用Jmeter做压力测试QC使用说明APP压力测试入门教程移动app测试中的主要问题jenkins+testng+ant+webdriver持续集成测试使用JMeter进行HTTP负载测试Selenium 2.0 WebDriver 使用指南