特約撰稿人 | 吳茂林

“釣魚Wi-Fi”肆意橫行手機安全保護還需“從我做起”

特約撰稿人 | 吳茂林

事實上，很多手機信息的泄露都與用戶自身的使用習慣相關，再加上真正的安全手機并未大規(guī)模普及，這也造成了手機安全防范的硬件短板。

在今年“3·15”晚會上，有一個環(huán)節(jié)是黑客通過“釣魚Wi-Fi熱點”劫持用戶手機并獲取其內(nèi)部私人信息的現(xiàn)場演示，其結果讓現(xiàn)場觀眾觸目驚心，也讓手機安全問題又一次曝光，到底什么樣的手機才是安全的，難道我們真得只能天天生活在沒有任何安全感的移動互聯(lián)網(wǎng)環(huán)境下嗎？我們還敢用手機銀行嗎？

手機客戶端支付還是安全的

在“3·15”晚會的演示環(huán)節(jié)中，現(xiàn)場觀眾只是登錄了一個模仿日常Wi-Fi熱點的“釣魚Wi-Fi”，個人隱私就被泄露了——不僅圖片被黑客獲取，瀏覽圖片信息也被截獲，連手機里的郵箱和密碼都能辨識出來。這讓很多現(xiàn)場觀眾憂心忡忡，既然黑客通過技術手段可以獲得手機里的照片、郵箱和密碼等信息，那么當我們在手機上通過手機錢包進行網(wǎng)上支付時，存儲在手機中的賬號和密碼，是不是也會很容易地被黑客獲取呢？答案是：不會。

事實上，央視“3·15”晚會上模擬的黑客行為叫做“數(shù)據(jù)劫持”，通過“釣魚熱點”連接上目標客戶的手機，然后目標終端上的任何操作和請求的信息流，都將被這個偽造的熱點截獲，所以才有了上述的表現(xiàn)。至于為什么連用戶手機中的電子郵箱的密碼都能獲?。渴且驗镋-mail的SMTP和POP協(xié)議都是明文存儲密碼，所以容易被一些惡意軟件和網(wǎng)絡行為鉆了空子，從而輕易獲取。

但是，諸如手機銀行、手機支付寶這類的應用都是通過HTTPS等加密方式進行數(shù)據(jù)傳輸，包括一些銀行的安全控件機制，就算數(shù)據(jù)包被不法份子劫取，沒有密鑰的話，它也只是一堆無意義的代碼，無法破譯出真正的密碼。所以，從技術角度來說，銀行推出的手機銀行客戶端在安全上是有保證的。

需要特別提及的是，用戶在使用手機銀行時存在的不安全因素多體現(xiàn)在實際操作中，特別是當用戶的手機丟失或者中病毒之后，其手機中的相關信息就有可能被泄露。而用戶只要在日常生活中做到以下幾點，基本可以保證手機銀行的安全。

良好的使用習慣是安全防范的核心

事實上，很多手機信息的泄露都與用戶自身的使用習慣息息相關，再加上真正的安全手機并未大規(guī)模普及，這也造成了手機安全防范的硬件短板。

提到網(wǎng)絡不良使用習慣，當屬免費Wi-Fi的“蹭網(wǎng)”行為。目前，中國公共場所Wi-Fi熱點覆蓋至少超過千萬個，Wi-Fi服務幾乎成為了公共場所服務范圍內(nèi)的標準配置， 而虛假Wi-Fi“釣魚”則是當前免費Wi-Fi的主要安全風險之一，今年“3·15”晚會現(xiàn)場黑客盜取用戶隱私的主要方法也是利用了虛假Wi-Fi“釣魚”的手法，吸引用戶通過移動設備接入該網(wǎng)絡，然后再通過分析軟件竊取這些接入虛假Wi-Fi熱點的用戶資料，從而破譯用戶的個人信息。

要想防范日常生活中的這些風險，筆者在此給大家一些建議。

第一，不要在公共場所隨便使用免費Wi-Fi登錄，特別是在不清楚Wi-Fi來源的情況下，更不要隨便利用外部Wi-Fi登錄手機銀行，不要打開來歷不明的短信或彩信，下載安裝軟件時要謹防“木馬”。建議先確認Wi-Fi的擁有者身份，最直接的辦法就是密碼的獲取，無論是從運營商短信還是直接詢問擁有人，都可以從客觀上確認Wi-Fi的真實性。

第二，手機銀行設立合適的轉賬額度。如果平時只是小額支付或充話費，可以把交易額度設定得低一些。如果需要大額轉賬，可以通過網(wǎng)銀臨時調高額度，轉賬完畢之后再調回。

第三，注意密碼保護，最好為支付賬戶設置單獨、高安全級別的密碼，要注意密碼應與郵箱、微博等應用的密碼有所區(qū)別，防止郵箱被攻破后不法分子利用“撞庫”技術獲取銀行密碼信息。

第四，盡量用本機自帶的軟件商店下載軟件，不要下載其它來路不明的軟件，這些APK可能含有“木馬”——讓你手機如同裸奔。如果手機丟失，要及時凍結手機銀行相關功能，避免更大的損失。

另外，手機用戶連接免費Wi-Fi可先通過“騰訊手機管家”進行網(wǎng)絡安全檢測。安卓版的“騰訊手機管家”用戶，可對所鏈接的免費Wi-Fi進行“DNS劫持”、“ARP欺騙攻擊”、“虛假釣魚Wi-Fi”等多項安全檢測，確保接入的免費Wi-Fi安全無風險。

想要安全就要用“安全手機”

除了軟件防護和注意日常行為習慣之外，如果能從硬件上進行手機信息安全的防護，那么手機安防工作將事半功倍。目前國內(nèi)主攻安全的手機廠商主要有酷派、中興、華為等?？崤捎幸豢蠲小般K頓”的新品，提出了“雙系統(tǒng)、硬隔離”的概念，將安全級別提高到軍事級芯片加密的水準。平時應用的智能操作系統(tǒng)與普通的安卓手機無異，不影響用戶的正常使用；需要安全防護時，通過一鍵切換，不到一秒鐘就能進入保密模式。在這種模式下，用戶只能接聽撥打電話、發(fā)送短信，任何GPS定位及網(wǎng)絡訪問全部被隔斷，以此保障用戶的圖片和個人隱私都不會被泄露。

中興也推出了“十防”手機，即防竊聽、防泄密、防跟蹤、防盜、防吸費、防詐騙、防病毒、防騷擾、防流氓、防卡慢等十項功能，而且這款“十防”手機將安全功能根植于系統(tǒng)底層，無需開放Root權限，大大提升了安卓手機的安全性。不過，因為局限于軟件層面上的短板，在安全性上還是與酷派“鉑頓”的硬件隔離技術存在一定差別。

另外，蘋果iOS系列也有一套封閉獨立的系統(tǒng)和基于此系統(tǒng)的安全機制，相對于安卓系統(tǒng)的開放環(huán)境而言，蘋果iOS的安全性更高，可以說是天生的“安全手機”，至少相較于安卓系統(tǒng)而言，使用iPhone手機進行一般性的小額支付在安全性方面更有保障。