接入公共Wi-Fi不要使用支付类应用

      这一问题由阿里安全猎户座实验室资深安全专家谢君和高级安全工程师汪嘉恒在大会上披露。

      “我们这次发现的缺陷更加底层，攻击者只需知道目标网络的密码，无需接入目标网络即可直接发起攻击。”谢君告诉科技日报记者，攻击者可以利用防止重放机制的设计缺陷，将用户和接入点之间的连接直接劫持，转化为中间人攻击。具体来说，就是攻击者可监听用户与Wi-Fi接入点的通信，在合适的时机发送伪造的数据或者劫持用户与Wi-Fi接入点的连接，篡改正常的通信内容，导致用户访问交互的数据中途被篡改。

      发动攻击的可能性有多高?答案是，近乎100%。只要Wi-Fi密码被攻击者知晓，攻击者即可对接入网络的任何一个端发起攻击。不过，目前来看，利用这一防止重放机制设计缺陷来进行攻击的技术门槛非常高。因此，用户也不用太过紧张。谢君建议，接入公共Wi-Fi后，还是要尽量避免使用敏感应用，比如银行类或者支付类产品，或者登录某些需要输入用户名和密码的网站。“这种攻击只能诱使用户输入敏感内容，而不能从什么都不做的用户那里窃取信息，只要小心即可。”

      谢君表示，保护Wi-Fi安全需要行业各界共同努力。去年6月国际上已推出新标准WPA3协议，他呼吁应加速推行这一新标准的普及落地，更好地保障用户上网安全。