在星巴克、麥當勞等公共場所邊點杯熱飲邊“蹭網”，是不少消費者用手機網上沖浪的便利選擇。不過，這些免費的Wifi中，可能隱藏著“黑網”。近日，有黑客在網上自曝“釣魚”全程，只要一臺筆記本、一套無線網絡和相關軟件，就能搭起一個欺騙性Wifi，并從中竊取上鉤者的用戶名和密碼。安全技術人員承認該方法的確行得通，提醒消費者選擇Wifi時最好先和店員確認，以免被騙。

冒充星巴克Wifi“請君入甕”

隨著近日各大網站的泄密門事件頻出，手機上網的安全也引發各方重視。近日在天涯論壇，一名自稱業余黑客者表示自己通過試驗，發現手機移動瀏覽器的破綻可輕易攻破，別人的用戶名密碼也能手到擒來，令大批網民嘩然。 “畢竟每個月上微博、查郵件、查淘寶、京東賬單等等全部在手機上搞定，不驗證一下不踏實。”發帖者稱。

帖子稱，在星巴克、麥當勞等通常有無線熱點的公共場所，只要一臺Win7系統電腦、一套無線網絡及一個網絡包分析軟件，設置一個無線熱點AP，就能輕松搭建出一個“李鬼”Wifi網絡。為了讓更多的手機用戶被欺騙連接到該熱點，Wifi被直接命名為Starbucks 2，且不設密碼，可以輕松接入。

“星巴克的客戶一般會拿出手機上網，這時會同時搜索到星巴克官方Wifi和假的Starbucks 2熱點，因為后者不需要密碼，很多用戶會首先連接該熱點。”該黑客說，這樣很容易吸引 “小魚進網”，進而偷窺其隱私。

誤上“李鬼”網絡或損失慘重

昨天下午，記者分別走訪了南京路步行街附近的兩家星巴克和Wagas咖啡，店內工作人員表示，其官方Wifi的確需要從店員或是通過中國移動的WLAN獲取密碼才能登陸。 “不過，如果客人在店內自行搭建其他Wifi網絡，我們也無權干涉，畢竟很多筆記本電腦都能直接共享網絡。”星巴克店員無奈地表示。

一旦消費者入網，只要通過用戶名和密碼訪問網站，黑客便有可能竊取其隱私信息。該黑客以UC瀏覽器為例，手機用戶如果使用了默認UCWeb設置，即打開云端加速，那么https網站的信息便能輕易被竊取到。有網友回復，如果網銀、支付寶的密碼都能這樣被竊取，那賬戶內資金無疑就成了板上魚肉任人宰割。

究竟事實是否真如傳言般這么可怕？國內某知名安全機構的一位工程師表示，上述陷阱的確有可能奏效。 “一般用電腦登陸網銀、支付寶時，會自動跳轉到https的加密網址進行操作。但UC瀏覽器為了提高訪問速度，存在直接將請求協議截留、轉至其自身數據庫進行中轉處理的情況，導致原先加密的密碼變成明文發送，幫黑客省去了破解工序。 ”該工程師表示。

UC瀏覽器稱遭人抹黑

對于上述情況，UC方面昨天向媒體發來聲明，否認有相關漏洞，稱公司迅速按照文章內容進行驗證，文章所指情況完全無法復現，因此他們認為這是競爭對手刻意抹黑。不過UC也坦言，如果用戶在公共場所連接任何不安全的釣魚Wifi，無論手機還是計算機的任何應用都可能是不安全的，建議用戶特別留心。

不過，業界知名的烏云漏洞平臺昨天通過微博表示，雖然 “你還敢用UC上網嗎”的帖子有點夸大，但UC設計的確存在缺陷，會將本來網絡加密的信息明文提交到自己服務器。當前無線安全值得關注，特別是這種釣魚Wifi存在極大風險。

受訪工程師支招稱，如果用戶在咖啡廳里迫切需要上網，可以通過網銀、支付寶等的手機APP客戶端進行訪問，這樣比用瀏覽器訪問的安全性大得多。

來源：東方網 編輯：馬原