设为首页 加入收藏 联系我们
关于联盟 联盟工作 联盟成员 WAPI产业链 WAPI专题 行业资讯 咨询测试 WAPI互操作认定 招贤纳士
 
 
 WAPI专题
政策法规
技术标准
信息简报
市场合作
WAPI新机速递
 
技术标准
宾馆Wi-Fi安全吗?
 
事情是这样的,前几天外出旅游,住了个宾馆,住了3天。
 
某天早上,我正在吃早餐,突然收到了一条信息。
 
看了吓我一跳。
 
信息我发给大家看看:
 
 
我明明在吃早餐,没有发起一个微信转账信息,怎么会发这么个信息给我?
 
凭借经验,我很快的意识到我的微信已经被监控了,我用的是手机4G上网,这个我可以肯定是安全的,那么问题出自哪里?我很快想到了宾馆Wi-Fi,因为除了用4G,在宾馆我习惯用Wi-Fi看电影。
 
这些人胆子真大。
 
马克思说过:
 
一有适当的利润,资本就胆大起来。
如果有10%的利润,它就保证到处被使用;
有20%的利润,它就活跃起来;
有50%的利润,它就铤而走险;
有100%的利润,它就敢践踏一切人间法律;
有300%的利润,它就敢犯任何罪行,甚至冒绞首的危险。
 
微信也去搞了,我不得不佩服这些人的胆量,还好微信的安全机制起了作用,如果不是来了这条短信,可能就是大放血了。
 
如果是一些打游戏或是安全机制稍微差的平台,可能就会有大损失了。
 
并非危言耸听,暴利面前,铤而走险的人大把,而且原理上,实现起来,并不难,和若干年前的棋牌杀猪原理是一样的。但是难度上会更高些。
 
作为技术的,今天就给大家分析下实现框架,提高大家的安全意识。
 
1:首先准备一个Wi-Fi信号加强接收器,淘宝上面大把
 
这个信号加强的主要作用是能接收更远的信号,因为宾馆里面的是隔开的,所以必须用信号加强。
 
2:中间人攻击——ARP欺骗的原理
 
与目标机器连到了同一个局域网了(宾馆的Wi-Fi密码是公开的),这个时候懂网络安全的,应该很快可以搭建一个中间人进行数据截取,这个难度不大。
 
3:数据解码,根据ARP截取到的数据,获取指定服务器来往的加密数据,然后进行解密
 
这部分难度会比较大,涉及到协议破解,这个已经有团队做出来了,大家可以看满天飞的QQ 微信机器人,这里面涉及到逆向数据分析,一言难尽,有兴趣的可以去试试。
 
抓取到来往的重要数据,例如机器码特征码,用户名密码等等信息。
 
4:模拟数据发包
 
根据通讯协议,模拟发包,这个对于一般程序员都不是难事了,这里面需要用户进行一次支付,才能抓取到支付密码。
 
因为当时我看到有个按摩椅,所以就扫描支付按摩了一个小时,支付密码这个时候就泄漏出去了。
 
对于这个事件,仍然心有余悸,如果微信的安全机制不起作用,或是我长期在一个地方待,微信不认为异常。
 
那么被坑的人应该不少,一个几百,没有人会去报警。
 
很多人可能会有很多疑问,真的如此轻松么?当然不是那么轻松的,前提是你要有足够的水平,足够的胆量,但凡是有点脑子的,都不会干这个事,这个事出问题,十个脑袋都不够掉的。
 
大家尽量不要用免费的Wi-Fi,如果不进行支付等敏感操作无所谓,如果一旦进行敏感操作,注意切换到4G,避免信息被截取。
 
登录游戏更应该注意,因为你的用户名密码机器码信息,只要被ARP了,基本就是别人的了,有时候你被盗了都不知道怎么回事。
 
有条件可以将MAC设置成固定的,这样就可以避开ARP了。
 
本文节选自:知乎
 
  


 
 


电话:010-82351181/82357730   传真:010-82351181 Ext.1901  邮箱:wapia@wapia.org; wapi@wapia.org

地址:北京市海淀区知春路27号量子芯座1608室 邮编 :100191