但即使是较新的WPA2加密技术，仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题，为此，我国依据“商用密码管理条例”制定了针对WIFI既有安全加密技术漏洞自主安全标准WAPI(Wireless LAN Authentication and Privacy Infrastructure，无线网络鉴别保密基础结构)。

　　2009年6月，工信部发布新政，宣布加装WAPI功能的手机可入网检测并获进网许可。当月，包括美国代表在内的参会成员一致同意，将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。

　　钓鱼WIFI窃取用户密码?

　　从技术角度来说，只要使用免费WIFI上网，手机或者电脑都有可能被钓鱼。

　　在那篇引发公共WIFI安全性问题争议的网帖中，名为“妖妃娘娘”的楼主详细演示了如何用“Win7系统电脑、无线热点和Wireshark软件”窃取使用UC浏览器用户个人信息和密码的全过程。

　　“妖妃娘娘”称，按照该教程，即使是初级黑客也只需要两个小时，就能掌握如何在公共场所设置免费WIFI来进行钓鱼，熟练后甚至仅需15分钟就能够轻松搞定使用UC浏览器上网用户的密码。而这其中的关键在于，UC浏览器本身存在安全漏洞，其所谓的“云加速”服务在传输用户信息时使用了明文传输密码，让泄密成为了可能。

　　对于这份“钓鱼WIFI”的详细教程，很快就有热心网友进行了亲身验证，结果证明在iPhone上使用版本号为8.2.1.132的UC浏览器，果真可以通过Wireshark软件截取到登录Gmail账户时输入的账号和密码信息。

　　看完网友实证帖后，杜瑞强想起自己平时肆无忌惮地在星巴克蹭网，不由得有些后怕。

　　然而，这还不是让公共WIFI安全性问题被彻底引爆的关键，在“妖妃娘娘”的网帖和随后网友实证帖被广泛传开后，有关“钓鱼WIFI”窃取他人信息和密码的强大能力被越传越神，“网银密码也能轻松搞定”等说法更是引起了众多网友的强烈不安。

　　作为UC浏览器开发厂商UC优视公司对于这个问题并没有太多回避。

　　该公司CEO俞永福直承，在前期某个版本的iPhone用UC浏览器上的确存在漏洞，但很快就推出了新版本的软件加以改进。不过他同时也表示，只要是遭遇“钓鱼WIFI”，用户上网过程中个人信息和密码就都有可能被别有用心的黑客获取，并非只有使用UC浏览器的用户才会有这个风险。

　　“最大的问题其实是在我们目前网站建设上普遍采用的HTTP(Hypertext Transfer Protocol，超文本传输)协议本身的安全性较低。”俞永福的说法获得了金山网络安全专家李铁军的支持。

　　李铁军称，从技术角度来说“妖妃娘娘”介绍的钓鱼方法是可行的，但这并不止是手机浏览器的问题，只要使用免费WIFI上网，手机或者电脑都有可能被钓鱼，这种技术被业内称为“攻击中间人”。

　　李铁军进一步解释，如果用户使用黑客设置的钓鱼WIFI上网，那么黑客使用相关软件监视并记录用户在网上进行的所有操作信息，从中窃取有价值资料，比如QQ聊天记录、邮件内容等，“获取网银账户密码的可能性较小，但也并不是完全没有可能”。

　　用户资料泄露漏洞在哪?

　　WIFI设备并没有出现安全方面的问题，是人们怎样使用WIFI上出了问题

　　虽然专家证明“钓鱼WIFI”的确有可能导致用户的个人信息泄露，但这究竟是WIFI网络本身的问题还是其它方面的因素导致，这种泄露的后果究竟又会有多严重呢?

　　贝尔金公司技术工程师梁汉明认为，钓鱼WIFI引发的公共场所WIFI的安全性问题和WIFI本身的安全性问题，在本质上是两回事，前者更多的是人的问题，但后者则只是较为单纯的设备问题。

　　“首先我们需要承认WIFI设备是有一定技术漏洞，这种情况在各种高科技产品和服务中都存在，就像Windows系统市场多次爆出安全漏洞，美国五角大楼也曾经被黑客攻破一样，网络设备和服务安全性虽然一直都在提升中，但谁也不敢保证万无一失。”梁汉明说，2011年WIFI设备就曾经爆出过WPS(WIFI保护设置)协议的漏洞，黑客只要用密码穷举法(使用计算能力强大的设备将的所有有可能性的密码排列组合都尝试一遍)暴力破解，能够完全攻破WIFI设备的安全防护。“但这样做不仅需要专业的设备，还需要精通相关安全协议的知识，并非一般黑客能做到的，即使能做到，也往往要花上几天的时间。”

　　但钓鱼WIFI的情况显然完全不同，“妖妃娘娘”称最短只需要15分钟就能搞定用户的账号和密码。“这是因为他本身就是设置了一个人为的陷阱，他攻克的本来就不是WIFI设备的安全防护，而是网络浏览器的软件漏洞，或者说是网络传输协议的漏洞。”梁汉明解释道，在这整个过程中，WIFI设备其实扮演的只是数据传输通道的角色，造成用户信息的泄露并非“WIFI设备惹的祸”，而是用户贪便宜的心理和网络浏览器和网络传输协议的软件漏洞。“在这件事上WIFI设备并没有出现安全方面的问题，是人们怎样使用WIFI上出了问题。”

　　不过无论是哪个环节出了问题，遭遇钓鱼WIFI有可能导致用户信息泄露的风险却是真实存在，仅这一点，就足够让杜瑞强这样的网络用户忧心忡忡：“一想到有可能连网银的账号和密码都泄露，就不敢再用了!”但在专业人士眼中，这种担忧显得有些过虑。

　　广东发展银行陈捷表示，目前绝大部分网络银行都已经在页面上加入了安全控件的技术，而且登录页面也多是采用了HTTPS(超文本传输安全协议，Hypertext Transfer Protocol Secure)技术，在终端和服务器之间进行数据传输时采用的是密文形式，使用WireShark之类的软件是无法截取的。

　　支付宝公司朱建称，目前网络第三方支付账户的登录和使用也大多采用手机账号绑定或者数字证书认证等技术，即使黑客通过“钓鱼WIFI”获得了账户和密码，在没有相关数字证书和绑定账号的手机短信认证的情况下，也是无法对账户资金进行调动的。

　　免费公共WIFI还能用吗?

　　不少运营商都提供免费WIFI，市民在公共场所最好选择运营商提供的WIFI

　　钓鱼WIFI被曝光后，在引发人们对WIFI安全性再检讨的同时，也让不少人对于是否应该继续在公共场所接入WIFI网络产生了怀疑。

　　媒体人士潘少文平日经常在机场、酒店等公共场所利用免费WIFI工作，现在正考虑买一个3G上网卡。

　　潘少文的顾虑并非杞人忧天。专门为中国移动提供WIFI设备专业建设和维护服务工作的夏侯宇表示，目前公共场所的WIFI主要分为两种，一种是有电信运营商提供的WIFI热点，另一种则是商家为招徕客户自行搭建的WIFI。

　　“这两种WIFI在技术上是有着很大差距的。运营商提供的公共WIFI网络无论是否免费，都是采用电信运营级的网络设备，性能稳定。运营商在WIFI组网时都会部署多种安全措施，例如连接上WIFI后要想上网还需要通过身份认证、或是要求使用专用的客户端软件等，在后台服务器端，运营商往往还会提供24小时的监控。”

　　夏侯宇称，普通商家自行搭建的WIFI热点则大多使用民用级WIFI设备，“其实就是家庭用户的普通无线路由器，而且后台也没有进行专门的安全性设置，有的甚至连密码都没有，这就给黑客留下了乘虚而入的机会。”

　　作为行业人士，夏侯宇个人建议，市民在公共场所最好优先选择运营商提供的WIFI。“目前不少运营商都针对其自身的用户提供免费的WIFI使用时长，充分利用这种优惠可以让用户在省钱的前提下享受到安全性更有保障的WIFI服务。”

　　据了解，目前仅中国电信在广东地区就已经建设了超过5万个WIFI热点，主要分布在校园、酒店、宾馆、机场、火车站等交通枢纽、大型购物广场、商务楼宇等七类公共场所，今年其还将新建2万个WIFI热点，使得省内WIFI热点数量达到7万个的水平。而中国移动今年在广东也提出了新增1.7万个WIFI热点的建设计划，预计到年底其WIFI热点总数将达4.2万个。

　　行业分析人士杨群表示，随着未来运营商之间竞争的加剧，这种由运营商搭建的公共场所WIFI热点规模还有可能进一步扩大，而且免费的也会越来越多。

(责任编辑：)