中国一线城市公共wifi安全与潜在威胁调查研究报告
其他报告的背景:
《2015中国WiFi安全绿皮书》和某免费WiFi厂家 2014年发布的《中国公共WiFi安全报告》
或带有商业性质,或反映的问题只是WiFi密码安全,并不全面。
我们想要的:
模拟真实用户的行为,侵入式和拟人式的对公共WiFi热点进行调研。
所谓侵入式,就是并不像从前一样被动的只是看看密码强度够不够,DNS有没有被劫持,有没有ARP攻击行为等等。而是直接将我们的测试设备直接连入各种公共WiFi的链路内,对其进行调查研究,将数据获取,存储并进行分析。
所谓拟人式测试,就是我们运行在自制测试设备上的程序,不再试传统的测试程序,而是一套拟人化得行为脚本。当我们的设备连接入公共网络后,我们的程序会进行微博登录,刷刷朋友圈,逛逛电子商务的店,挑一些商品进行购买,会用各大支付平台进行支付,也会给朋友转账什么的,当然,我们的程序脚本还会在网上贴吧留留言,和朋友聊聊天,看看视频,听听搞笑的段子。完全模拟了一个普通人在公共场所连上WiFi后可能会有的行为。从而能够发现更多的恶意热点的恶意行为。
侵入式测试是为了测试的深度,并不能还停留在“卡王”的时代,只去关心WiFi密码的强度,意义并不大。
拟人式测试时为了测试的广度,能够和这个在互联网时代下的“黑色产业”大军做对抗和调查研究,必须将自己的测试模式进行改变。传统的扫描器和检测工具根本无法捕捉这些,简单举个例子,现在的恶意WiFi一般不会对用户有恶意行为或明显的攻击报文,而它会检测用户有没有登录行为,有没有网购行为,有没有网上支付行为,如果有,往往会在最关键或是最后的一步,才会窃取或篡改用户的信息,这样的对抗行为规则如果不用拟人式的测试时很难触发和发现的。
调查范围介绍:
南京:
初期团队做实验的小范围测试,在南京的测试点不多,覆盖面并不广。
北京:
机场,火车站,工体,王府井,天安门广场,各大旅游景点等等约23余处地点。
上海:
机场,火车站,陆家嘴,科技园区,中山公园,商场,各大旅游景点等等约27处地点。
广州:
机场,火车站,天河体育中心,百脑汇电脑城,太平洋电脑城,天河电脑城,长隆等各大旅游景点等等约30处地点。
如何界定安全与不安全:
我们认为安全的WiFi是该WiFi网络中进行所有拟人网络行为测试时间达两小时以上并且没有触发和出现任何恶意行为且个人隐私信息未被获取的网络环境良好的WiFi热点。
我们认为不安全的热点是应该有如下特征:
1连接时需要提交过多个人隐私信息
2网络存在监控篡改DNS信息的行为
3获取用户上网流量信息存储或向其他位置传输
4网络提供者的硬件设备上架设了伪装或钓鱼网站
5筛选过滤用户上网流量并监控支付或登录行为的
6在网络中强行插入广告信息或类似黄赌毒等非法推广信息的
7可以篡改用户下载的软件与应用的行为
等等包含但不限于类似上述行为
测试工具设备:
设备采用各种便携式有源路由器改装,4G网卡负责回传信息,一台路由的系统被“刷成”测试专用的系统并运行测试程序,一台大功率路由扮演触角,负责采集和扫描附近所有安全与不安全的WiFi热点信号,交由后端测试分析。
测试程序的基本架构:
详细数据列表
热点数量列表:
项目 | 地点 | 数量(个) |
采集到的WiFi热点数量 | 北京 | 23763 |
采集到的WiFi热点数量 | 上海 | 26147 |
采集到的WiFi热点数量 | 广州 | 18133 |
正式官方提供热点数量 | 北京 | 5623 |
正式官方提供热点数量 | 上海 | 12431 |
正式官方提供热点数量 | 广州 | 2120 |
不稳定热点数量(信号消失) | 北京 | 947 |
不稳定热点数量(信号消失) | 上海 | 311 |
不稳定热点数量(信号消失) | 广州 | 1099 |
恶意行为列表:
恶意行为 | 热点数量(北京/上海/广州)/个 |
钓鱼页面,虚假登录页面 | 5633/7013/4578 |
强制提交过多个人隐私信息 | 1388/2311/1784 |
篡改网络DNS信息 | 7904/5634/6541 |
获取存储并传输用户上网流量报文 | 1985/1347/3347 |
监控篡改用户登录或交易支付行为 | 357/589/747 |
强行插入广告或黄赌毒等非法推广图文 | 2013/3567/6689 |
篡改用户下载软件应用的下载地址 | 145/98/311 |
劫持用户登录后的cookies信息 | 23/47/198 |
获取用户登录的账号密码 | 899/1567/2103 |
公共热点类别列表:
公共热点类别 | 热点数量(北京/上海/广州)/个 |
临时热点 | 950/1045/725 |
家庭热点 | 1782/1961/1359 |
钓鱼WiFi | 2019/2222/1541 |
公共设备 | 2138/2353/1631 |
寄生虫热点 | 3326/3660/2538 |
店铺自建热点 | 5465/6013/4170 |
第三方公司业务 | 8079/8889/6165 |
恶意热点使用改装硬件原型机列表:
(通过MAC地址反查厂商和系统信息泄露漏洞获取)
设备厂商或型号 | 设备搭载的系统 | 数量(个) |
TP-LINK TL-WR720N | openWRT | 2678 |
水星MAC1200R | DD-WRT | 246 |
水星MW150R | DD-WRT | 378 |
TP-LINK WR703N | openWRT | 1978 |
华为HG255D | openWRT | 94 |
TP-LINKTL-WR820N | openWRT | 3413 |
获取用户信息分类:
姓名 |
手机号码 |
邮箱地址 |
家庭住址 |
身份证号 |
酒店房号(伪装在酒店里的寄生虫热点常用) |
QQ号 |
银行账号 |
淘宝账号 |
支付宝账号 |
游戏账号 |
上网地点 |
用户连接过的WiFi SSID(用来模拟虚假WiFi) |
网名/用户名/ID |
出生日期 |
.... .... |
附录1:关于寄生虫热点的描述:
首先寄生虫热点是今年刚刚出现的新的恶意WiFi热点攻击方式,并且区别于传统的“钓鱼热点”。传统的“钓鱼热点”为自带网络功能(3G或固网)的路由器,将钓鱼页面或钓鱼程序搭建在路由器上,骗取用户账号密码等等。然而这样的路由器由于IP地址非官方提供,可以用安全软件较为简单的识别出来,如我们在上海连接进一个CMCC的中国移动提供的热点,而IP地址却显示联通3G或者为广州移动,显然是有问题的。
为了规避安全软件检测,寄生虫热点采用的是桥接上网的方式,本身恶意热点的路由器并不具备独立上网功能,而是将作为一个终端先连接进入一个正常的公共热点,比如FREEWiFi,
连接上后,其就能够直接上网了,随后恶意热点再发送一个新的WiFi信号出来,WiFi名称(SSID)也命名为FREEWiFi,这样一个寄生虫热点就完成了。此时用户连接上寄生虫热点后,检测IP地址,一切正常,因为本身网络就是从正常热点上桥接而来,更可怕的是,用户只能看到WiFi名称,如果WiFi名称一样,IP地址也一样,根本无法判断自己所处的网络环境是怎样的。一旦连接上寄生虫热点,热点上的恶意程序就会不断的捕捉和篡改用户的信息。
附录2:寄生虫热点上通过虚假验证页面获取到的个人信息:
报告内容仅供研究参考使用,切勿用于商业用途,违者必究其法律责任!转载请注明来源于凌晨网络科技!
完整报告内容请联系:zer0ne#weehoursec.com
上一篇:做了三年的公益活动,然后呢~
售前咨询专员
