中国邮箱网讯 3月18日消息,央视315晚会现场找了戴着眼罩的工程师来演示,如何通过公共WiFi,获取用户手机的操作系统、正在运行的App等信息,甚至还可以获取到用户手机中存储的邮箱、密码等隐私信息。这个是怎么做到的?
我们把数据包当做“信件”来看一下吧。
首先看一下如何获取操作系统信息,获取操作系统信息都是利用所谓的“特征码”,或者说指纹。不同操作系统发送数据包的过程中,会出现一些特有的行为,比如TTL值、IP头部信息。比如张三喜欢用牛皮纸做信封、并且常用黑色钢笔;李四喜欢用铜版纸做信封,常用蓝色圆珠笔。那么根据这些信息就可以大概判断出是谁发送的信。同样的,也可以判断出是哪些APP发送的数据。
接下来就是如何截获用户名密码,很多人设置客户端邮箱的时候没有注意到“使用安全链接(SSL)”的选项,所以发送的邮箱用户名密码,甚至邮件内容都是明文的。如果一份信件被投到了一个假的邮筒,那么假邮筒的拥有者就可以随意查看你的信件内容了。但是张三和李四约定,写信的时候会把字母A替换成C,把字母B替换成Z等等,这样别人看到的就是一堆乱码了。而SSL是更为复杂和安全的加密方式。我们浏览网站的时候会看到有些网站是https:// 开头的,而不是http:// ,这类网站就是使用了SSL加密技术(不过现在注重安全的网站都会升级为TLS,安全等级更高)。类似的,把A替换成C,B替换成Z这样写起信来速度很慢,SSL也会导致速度变慢,所以有些网站会把网页上部分重要内容使用SSL加密,部分内容使用明文传输。这样做虽然可以防止窃听,但是可以被中间人攻击篡改页面,导致客户端使用明文发送用户名密码。
前面有人提到使用sslstrip可以破解SSL,它的原理就是制作一个假的服务器证书来欺骗客户端,一般浏览器都可以发现假的SSL证书并弹出警告,如果忽略警告就会被盗取信息了。(sslstrip也可以把https:// 强行修改为http:// 这时候不会弹出安全证书提示,也需要注意)
使用公共wifi的时候一定要注意:
1、不要在http:// 开头的网址上输入密码等信息;
2、不要使用同一个密码注册多个网站;
3、如果你的网络服务提供商不可信任(比如房东直接从交换机拉一条网线给你),那么也要小心密码被盗或个人信息泄露;
4、翻墙也是一样的,翻墙服务提供者可能时刻监视着你的数据流量。
另外补充一点,在一些个人或中小企业网站注册的时候要特别注意,不要使用和敏感账户(如支付宝、QQ、邮箱)相同的密码,一般这些网站都不会加密存储你的密码。也不要在上面留下个人专用的联系方式,发布可能泄露个人信息的内容,个人信息的泄露跟密码泄露都是一样危险的事情,必须要重视。信息安全界的“社会工程学”就是利用这些信息来实施入侵的,往往比直接使用技术手段更加高速有效。