如何挽救正在“出軌”的手機Wi-Fi？

關于Wi-Fi安全，雷鋒網(wǎng)已經(jīng)做過一系列的講解。其中包括如何如何設置路由、如何防御Wi-Fi密碼共享軟件、公共Wi-Fi有哪些不安全、偽造Wi-Fi的機制等等。今天這篇由烏云君帶來，Ta將實地操作，分享一名白帽子是如何利用偽造Wi-Fi來欺騙大家的手機的。本文首發(fā)烏云君的知乎專欄，授權雷鋒網(wǎng)發(fā)布，略有刪減。

關于搭訕，你真得跟兜里那臺智能手機學學，這一路上它一直尋覓身邊的無線熱點，并拋出“我們交往吧”的請求，有些甚至還成功了，但這些你造嗎？而且，它的這種濫交行為甚至是能影響到你的敏感信息，這個你都造么？

先讓我們做個戶外運動，看看大家的手機等移動設備是否會“出軌”。

#0 虛假Wi-Fi熱點“攻擊”測試（地鐵環(huán)境實驗）

測試目標是讓大家看看偽造CMCC熱點的客戶的接入情況，更多趣味測試請關注烏云君后續(xù)的實驗。因突然有的想法，臨時找些小玩具，所以裝備還不是很酷炫，湊合秀。測試路由刷了OpenWrt，方便統(tǒng)計接入終端等數(shù)據(jù)，另外也為開荒后復雜的測試做準備。咱不用空想出來的數(shù)據(jù)和危害說事兒，說做就做 Let‘s Go！

測試地點：xx號線地鐵站
測試時間：10點鐘后非早高峰時段
測試設備：OpenWrt路由器 x 1、移動電源 x 1、平板 x 1、3G熱點 x 1
測試周期：四站地鐵，20分鐘左右
測試熱點：CMCC（建立個CMCC熱點，不設置密碼即可）

進站后給路由器通電，心臟撲通撲通的跳啊。開啟無線后立刻有十多臺手機等移動設備涌入，來了來了，它們來了！在車輛開啟后穩(wěn)定達到了70多臺設備接入（偶滴個神仙大姐?。鐖D：

需要說明的是這個小路由器價格還不到100塊錢，穩(wěn)定的信號覆蓋可能也就一兩節(jié)車廂或更多吧，如果換個功率較強的無線設備上車，數(shù)據(jù)看起來會更過癮一些。四站后下車，統(tǒng)計結果共有170多臺設備接入過我們的無線設備（好奇早高峰能有多少）。

圖太長只截一部分，這個實驗說明了像CMCC這種公共WLAN服務，確實有很多手機可以主動或被動的接入，偽造Wi-Fi的攻擊在國內(nèi)是絕對有可能，并且影響巨大。好了，烏云君本次打怪升級獲取 5 點經(jīng)驗值，繼續(xù)磨練裝備準備后續(xù)的測試。

距離其他測試還有點時間，借機給大家講講移動設備Wi-Fi安全的兩個點：

不可信的Wi-Fi

不可信的Wi-Fi是指公共場所如咖啡廳、酒店、商場、飯店或個人私建（無密碼開放），給用戶提供的免費Wi-Fi服務。風險一是會有開放動機不明的熱點，二是同熱點下可能會有中間人攻擊（安卓手機有好多黑客軟件，裝上后就能輕松劫持前面上網(wǎng)那個女神的賬號了了了）。

上圖是烏云君蹲在星巴克外面測試的（ARP欺騙），輕松監(jiān)聽到用戶郵箱客戶端中的明文賬號密碼，和微博認證cookie直接登錄。對不住了大哥，手機明明對準的是你身后的妹子，但怪你身寬體胖擋住了信號 (っ′ω`c)

偽造的Wi-Fi熱點

另一種靈活的攻擊是利用智能手機Wi-Fi廣播/自動接入設計進行攻擊的。簡單來說，我們在接入家里無線路由器后手機就會保存這個熱點的信息，每次進入家庭無線范圍就會自動接入，無線路由現(xiàn)在家家都有，我們都很習慣這個特性。

如果你很想知道原理的話，微博上的 @rayh4c 大牛（此牛會在9月12日的烏云峰會上講解Android攻擊的私房議題哦）給出了一份技術文檔，技術鉆研流可以閱讀下（文末有鏈接）。

所以當你可以自動接入偽造熱點的時候，我們就孤身同處一室了（啊不對，是同處一網(wǎng)），能進行網(wǎng)絡監(jiān)聽。但我怎么建立大家都能接入的Wi-Fi熱點呢？這個難題三大運營商合力給完美的解決了。

中國移動熱點：CMCC、CMCC-EDU 等
中國聯(lián)通熱點：ChinaUnicom 等
中國電信熱點：ChinaNet、ChinaTelecom 等

這就是開篇時烏云君做的 地鐵偽造熱點的實驗原理 了，首先以上熱點接入方式都是已知的（沒密碼么就是），然后是很多人都曾經(jīng)接入過（有個大招咱后面說），雖然官方WLAN服務上網(wǎng)還需要身份驗證，但能讓大家都接入這就足夠了??！再次引用地鐵實驗的結果，移動設備都自動到碗里來了。

可以在路由器上抓取明碼網(wǎng)絡通信，比如郵件協(xié)議的數(shù)據(jù)，明文賬號密碼被爆，這個請求是從Android自帶郵件客戶端發(fā)出的，你在用么？

但如果你說你沒接入過三大運營商的WLAN服務，或我干脆刪了它，就不怕自動接入了么？圖樣圖森破啊。一日烏云君把玩好友的國產(chǎn)手機（你們非得問名字！型號忘記了！商標拼音讀了下念“來弄我”！你說到底是啥牌子的？），它竟然將兩大運營商的Wi-Fi熱點內(nèi)置到你的手機中（電信好孤單），更有甚者一些手機中這幾個Wi-Fi你都刪不掉，碰到了就連上。

@ImaNewbie 針對@烏云-漏洞報告平臺 今天提出來的某國產(chǎn)手機會自動連接CMCC，其實那個全球智能機銷量第一的手機也一樣，該手機型號為移動定制“牛3”，自帶的CMCC和CMCC-EDU會自動連接且無法刪除，甚至沒有辦法屏蔽掉……看懂了么，想刪都刪不掉啊，我不想連都不允許么？

一些微博網(wǎng)友向烏云君吐槽：

@Weimin_TM：華為不也一樣？深惡痛絕此功能

@cybergene：國產(chǎn)機大都如此，CMCC刪都刪不掉

@黑色的叛逆少年：看了下評論還真讓我想起了來弄我的某款電信定制機，電信熱點自動連接，媽蛋root之后也去不掉 （烏云君插一句：root也不行？姿勢不對？）

@爾夫要把太陽吃掉：酷派表示會自動連接CMCC

@軍號微博：根本無法分辨這個CMCC是假的。

@請叫我熊先森：定制機都這樣，小編白目啊，移動應該承擔這種偽基站W(wǎng)i-Fi的校驗責任

我國各種大定制V587！想沒想過給用戶留下的隱患？起碼用戶能刪除吧。。。好了，兩種Wi-Fi風險都介紹完了，目前媒體對不可信熱點的關注度比較高，而更實用的偽造熱點關注卻不多，偏科不好。

在提下 釣魚Wi-Fi_百度百科 提到的“安全指南”，是不是有 關上了一扇門，又打開一扇窗的感覺？科普不到位。

前面的內(nèi)容看完后是不是這個情形？

機靈的你馬上問我?guī)讉€問題：

Q：我訪問HTTPS（SSL）加密的網(wǎng)站肯定沒事兒，他看不到明文傳輸?shù)男畔?，能耐我何?/strong>看這里看這里。

HTTP  數(shù)據(jù)傳輸（明文）：我的烏云密碼是123456
HTTPS 數(shù)據(jù)傳輸（加密）：涐の烏雲(yún)嘧碼媞①②③④⑤⑥

A：你以為黑客還是守著老路子不放，但實際可能早就換了方法。可以搜索下SSL胸器之中間人攻擊－SSLStrip，專業(yè)解釋不貼了。直接說人話就是他在網(wǎng)絡上做了手腳，成了黑中介，把你的數(shù)據(jù)騙過來裝成你跟網(wǎng)站通信，對于你來說網(wǎng)站還能正常互交，所以妥妥的察覺不到。

頁面一模一樣不是么？其實是個套兒，目的是獲取HTTPS下面你的賬號密碼Cookie等敏感認證信息。

Q：那安卓手機里這些刪不掉的運營商熱點咋搞？

A：這個操作建議有動手能力并且喜歡折騰的伙伴嘗試。安卓手機內(nèi)置并且無法刪除的CMCC等無線熱點，可以root系統(tǒng)后在 “/data/misc/wifi/bcm_supp.conf” 或是同目錄中的 “wpa_supplicant.conf” 文件中干掉他，如果你不知道文件結構，那就破壞掉常見的運營商SSID即可（比如CMCC改稱CMCCTUISAN這樣）。

Q：親哥了，咋root手機啊？咋找那個文件?。?？咋改掉熱點??？？？啥都不會?。。。?/strong>

A：如果你不適合折騰的話。。。烏云君建議在公共場所關閉手機的Wi-Fi吧，安全還省電，多好。

說了這么多，該總結下重點了：

1、Wi-Fi攻擊軟件都很傻瓜化，而且竊取密碼只是其中一項功能，全用上能給你的移動上網(wǎng)體驗折騰的欲仙欲死、欲罷不能?。?/p>

2、公共場所的Wi-Fi確實存在風險，攻擊可以來自熱點設備，也可以來自其中的一個接入用戶。他們的攻擊效果都差不多，劫持、篡改、監(jiān)聽你的數(shù)據(jù)，比如郵箱、網(wǎng)購、微博、知乎啥的；

3、相比公共Wi-Fi，烏云君個人覺得偽造熱點更可怕一些，特別是國內(nèi)手機廠商的助力下，如狼得妹兒??；

4、對手中的設備和你的操作習慣也別過于自信，因為廠商更想傳遞更好的用戶體驗，而不是更好的安全性。

PS：最后附上前邊提到偽造Wi-Fi熱點原理的技術參考文檔 Open Wifi SSID Broadcast vulnerability 。這篇中有一個2012年做的測試，老外發(fā)現(xiàn)中招最多的熱點，和中招最多的設備，分享如下：

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。