本港的Wi-Fi熱點愈來愈普遍,不論商場、咖啡室、食肆等一律不乏免費的無線網絡提供,市民也非常熱衷於使用這些服務,但卻不多人探討這些服務的來源。F-Secure保安研究室發表香港公眾無線網絡的實驗結果,顯示公眾對智能產品的網絡設定警戒心甚低,電子產品內的個人私隱資料隨時被盜用,後果不堪設想。
六個地點進行實驗
F-Secure研究人員於2015年7月29日分別於觀塘、鰂魚涌、灣仔、金鐘、中環及深水埗六個地點之咖啡室設置免費無線網絡並開放予公眾使用以進行實驗,於一小時內,共有687個電子產品曾連接至實驗網絡,佔開啟Wi-Fi之電子產品數目的55%。
是次實驗的關鍵是F-Secure於咖啡室中設置的自製非法擷取點(Rogue AP,Rogue access point)。這個由F-Secure自製的Rogue AP包含一個定制無線接收盒(Customized access point)及一個便攜式電池組,可提供4G/LTE網絡,總成本低於200美元,是一般人也有能力購買及制作的工具。當Rogue AP發現有流動設備開啟Wi-Fi功能時,Rogue AP便會讀取流動設備曾連接過的無線網絡識別碼(SSID)的清單,並偽裝成其中一個SSID,以引導流動設備自動連接。此時,用戶以為自己正連接熟悉的SSID,但實際上已被欺騙。
以中環的結果為例,開啟Wi-Fi的電子產品數目有244個,其中自動連接上Rogue AP的便有高達152個,達62%。而當中IOS、Android及其它系統的比例百分比分別為30%、45%及25%。在一個小時內,電子產品在Rogue AP上便用的網路流量便有378MB。在整個研究中,金鐘自動連接至Rogue AP的比例在各區中最高,達71%。而在電子產品系統方面,最大比例的則是Android。
Free字眼SSID易令用戶連接
研究亦發現,最容易令用戶選擇的SSID,大多含有「Free」字眼,令用戶不加思索便選擇連接。連接了無線網絡之電子產品,期間未經加密的網絡活動,包括:即時通訊、網絡搜尋及電子郵件傳送等等將被一覽無遺,更可能被第三者暗中監控。如落入不法之徒手中,可被進一步竊取用家個人資料,甚至帳戶密碼等私隱及高風險資料。
F-Secure保安研究室建議用戶在不需要使用無線網絡時可關掉Wi-Fi功能,而且可以選擇不設置電子產品的網絡設定為「自動連接」或「連接到首選網絡」。
假設連接並使用完一個公共Wi-Fi熱點的服務後,可以刪除或「忘記」無線網絡清單。另外也可以在公共Wi-Fi網絡中選擇適用於所有流量加密的VPN服務,以提高連接時的安全性。
F-Secure亞太區保安顧問吳樹謙指出:「很多用家對智能產品的網絡設定有所鬆懈。在無線連接網絡通常凌駕於流動數據的情況下,長期開啟無線網絡之用家很容易在不知情的情況下,自動連接上不安全的無線網絡。這個電子保安缺口,令不法之徒有機可乘。」
沒有留言:
發佈留言