日前,全球最大的网络共享平台WiFi万能钥匙发布《2017年中国公共WiFi安全报告》(以下简称《报告》)。《报告》指出,2017年全国风险热点数量占总热点数量比例为0.8295%,尽管连接风险热点概率不足1%,但由于连接公共WiFi的用户基数大、频次高,建议用户谨慎对待,提高安全意识。在风险WiFi中,绝大多数为对用户不造成明显危害的低危风险热点,用户在连接公共WiFi时遭遇中危、高危风险热点的比例仅为0.0019%、0.0091%。
WiFi万能钥匙首席安全官龚蔚表示,用户对风险热点需要重视但不必过于担忧,只要提高安全意识、使用专业工具连接上网,便可能够有效识别风险WiFi,规避绝大多数上网风险。另外, 整个WiFi共享行业也在持续加强安全防护实力,保障用户连网安全。
中高危风险虽然占比低,但仍须谨慎
2017年,全国风险热点数量占总热点数量比例为0.8295%,其中98.7%为低危害的广告链接与暗链。低危风险包含用户最常遭遇的两种情况:在浏览网页时,用户未点击却发现页面弹出广告;或者是在用户没意识到的情况下,手机后台访问了暗链接。此类低危风险热点占总热点数的0.8185%。
相比之下,当用户不慎遭遇中危风险热点时,日常用户行为会遭遇干扰,举例来说,用户输入某网站页面,却可能被指向其它网站。中危风险热点占总风险热点比例为0.0019%。真正的高危热点会将用户引向钓鱼网站,或者进行SSL篡改,借机窥伺用户的账号密码等数据。高危风险热点占总风险热点比例为0.0091%。
中危、高危风险热点的比例极低,只要对风险WiFi的产生机制有一定了解,大部分风险WiFi并不难识别。此外,根据法律规定,所有银行的网上支付软件与合规第三方支付平台在进行核心数据交换时都采用双向加密通信,因此即使加密通信的流量被劫持,攻击者也几乎无法对加密数据进行解读或篡改。用户使用官方支付类软件进行支付时,攻击者仅仅通过WiFi单一渠道,实际上盗取用户账号密码的几率极微。此外,大多数支付类工具以及WiFi连接工具均为用户提供了保险,一旦出现财产损失,可向官方申请索赔。
相比三线以下城市,一二线城市WiFi更安全
数据显示,在WiFi数量上,中国接近一半的热点分布在一二线城市,其中,成都、深圳、北京、广州、上海位列中国城市WiFi热点数量top 5。
过去30年,随着国民经济的快速发展和城市化进程的推进,北上广深与各个省会城市发展出各类型商业形态,而WiFi作为居民消费的刚需,已逐渐成为各个商业中心的标准配置。因此,商业发展越密集,WiFi热点规模越大。值得注意的是,成都在WiFi数量上一举超过北上广深,位列榜单首位。
尽管一二线城市的WiFi热点数量更多,风险WiFi的比例却低于三线以下城市。一线城市的风险WiFi比例为0.81%,二线城市风险WiFi比例为0.82%,低于全国风险WiFi比例的;相比之下,三线及以下城市的风险WiFi比例较平均值更高。
相比三四线城市与乡镇居民,一二线城市居民与商户经营者有更多机会接触到网络安全资讯,进而不断提升网络安全意识和技能,对于网络欺诈等违法犯罪活动有较高的辨识和抵御能力,因此,风险WiFi在以上城市更难有容身之地。
餐饮美食场景下的风险热点比例最高
从商业场景的维度来看,餐饮美食和宾馆酒店场景下的WiFi数量占比最高,分别达到32%和29%,用户在餐饮美食场景下连接WiFi热点的频次最高,尤其是在用餐高峰时段;处于宾馆酒店场景时,用户连接WiFi的时长最长,主要集中在夜间时段。
在作为用户使用频次最高的场景,在占比0.8295%的风险热点中,餐饮美食场景下的风险热点占所有风险热点的35%。相比之下,来自宾馆酒店场景下的风险热点数仅仅占所有风险热点的11%,由此可见,宾馆酒店整体WiFi的安全性较高。
使用专业工具连网可有效防范风险热点
针对各类风险WiFi的鉴别与防范,《报告》提出了六项建议:
- 使用大品牌、大厂商的路由器,避免随意刷第三方固件
- 尽可能不要Root安卓手机,苹果手机切勿越狱
- 使用专业连网软件连接公共WiFi更安全
- 甄别是否是山寨热点,选择有官方认证机制的热点进行连接
- 尽量使用官方App进行网购或支付
- 关闭手机的WiFi自动连接功能,避免自动连接没有密码的风险热点
龚蔚表示,目前用户因为上网造成损失的原因绝大部分不是风险WiFi,而是来源于山寨软件。目前热门流行的App几乎均被山寨,并以游戏类、工具类居多,如捕鱼达人、开心消消乐等。WiFi万能钥匙更是山寨软件的受害者,2017年,WiFi万能钥匙共排查31个渠道,发现超过355个山寨软件,其中大部分已经处理下架。
山寨软件的名称、图标和界面和正版极为相似,用户很难甄别。山寨应用通过模仿、抄袭知名软件诱导用户进行安装,然后进行各种违规操作,比如弹出广告、下载插件、安装其它App,未经用户同意订购消费服务,消耗用户的资费和流量,甚至窃取短信、通话记录等用户隐私数据,危害巨大,用户须提高警惕。