關(guān)于Wi-Fi安全，雷鋒網(wǎng)已經(jīng)做過一系列的講解。其中包括如何如何設(shè)置路由、如何防御Wi-Fi密碼共享軟件、公共Wi-Fi有哪些不安全、偽造Wi-Fi的機(jī)制等等。今天這篇由烏云君帶來，Ta將實(shí)地操作，分享一名白帽子是如何利用偽造Wi-Fi來欺騙大家的手機(jī)的。本文首發(fā)烏云君的知乎專欄，授權(quán)雷鋒網(wǎng)發(fā)布，略有刪減。

關(guān)于搭訕，你真得跟兜里那臺(tái)智能手機(jī)學(xué)學(xué)，這一路上它一直尋覓身邊的無線熱點(diǎn)，并拋出“我們交往吧”的請求，有些甚至還成功了，但這些你造嗎？而且，它的這種濫交行為甚至是能影響到你的敏感信息，這個(gè)你都造么？

先讓我們做個(gè)戶外運(yùn)動(dòng)，看看大家的手機(jī)等移動(dòng)設(shè)備是否會(huì)“出軌”。

#0 虛假Wi-Fi熱點(diǎn)“攻擊”測試（地鐵環(huán)境實(shí)驗(yàn)）

測試目標(biāo)是讓大家看看偽造CMCC熱點(diǎn)的客戶的接入情況，更多趣味測試請關(guān)注烏云君后續(xù)的實(shí)驗(yàn)。因突然有的想法，臨時(shí)找些小玩具，所以裝備還不是很酷炫，湊合秀。測試路由刷了OpenWrt，方便統(tǒng)計(jì)接入終端等數(shù)據(jù)，另外也為開荒后復(fù)雜的測試做準(zhǔn)備。咱不用空想出來的數(shù)據(jù)和危害說事兒，說做就做 Let‘s Go！

測試地點(diǎn)：xx號線地鐵站
測試時(shí)間：10點(diǎn)鐘后非早高峰時(shí)段
測試設(shè)備：OpenWrt路由器 x 1、移動(dòng)電源 x 1、平板 x 1、3G熱點(diǎn) x 1
測試周期：四站地鐵，20分鐘左右
測試熱點(diǎn)：CMCC（建立個(gè)CMCC熱點(diǎn)，不設(shè)置密碼即可）

進(jìn)站后給路由器通電，心臟撲通撲通的跳啊。開啟無線后立刻有十多臺(tái)手機(jī)等移動(dòng)設(shè)備涌入，來了來了，它們來了！在車輛開啟后穩(wěn)定達(dá)到了70多臺(tái)設(shè)備接入（偶滴個(gè)神仙大姐?。?，如圖：

需要說明的是這個(gè)小路由器價(jià)格還不到100塊錢，穩(wěn)定的信號覆蓋可能也就一兩節(jié)車廂或更多吧，如果換個(gè)功率較強(qiáng)的無線設(shè)備上車，數(shù)據(jù)看起來會(huì)更過癮一些。四站后下車，統(tǒng)計(jì)結(jié)果共有170多臺(tái)設(shè)備接入過我們的無線設(shè)備（好奇早高峰能有多少）。

圖太長只截一部分，這個(gè)實(shí)驗(yàn)說明了像CMCC這種公共WLAN服務(wù)，確實(shí)有很多手機(jī)可以主動(dòng)或被動(dòng)的接入，偽造Wi-Fi的攻擊在國內(nèi)是絕對有可能，并且影響巨大。好了，烏云君本次打怪升級獲取 5 點(diǎn)經(jīng)驗(yàn)值，繼續(xù)磨練裝備準(zhǔn)備后續(xù)的測試。

距離其他測試還有點(diǎn)時(shí)間，借機(jī)給大家講講移動(dòng)設(shè)備Wi-Fi安全的兩個(gè)點(diǎn)：

不可信的Wi-Fi

不可信的Wi-Fi是指公共場所如咖啡廳、酒店、商場、飯店或個(gè)人私建（無密碼開放），給用戶提供的免費(fèi)Wi-Fi服務(wù)。風(fēng)險(xiǎn)一是會(huì)有開放動(dòng)機(jī)不明的熱點(diǎn)，二是同熱點(diǎn)下可能會(huì)有中間人攻擊（安卓手機(jī)有好多黑客軟件，裝上后就能輕松劫持前面上網(wǎng)那個(gè)女神的賬號了了了）。

上圖是烏云君蹲在星巴克外面測試的（ARP欺騙），輕松監(jiān)聽到用戶郵箱客戶端中的明文賬號密碼，和微博認(rèn)證cookie直接登錄。對不住了大哥，手機(jī)明明對準(zhǔn)的是你身后的妹子，但怪你身寬體胖擋住了信號 (っ′ω`c)

偽造的Wi-Fi熱點(diǎn)

另一種靈活的攻擊是利用智能手機(jī)Wi-Fi廣播/自動(dòng)接入設(shè)計(jì)進(jìn)行攻擊的。簡單來說，我們在接入家里無線路由器后手機(jī)就會(huì)保存這個(gè)熱點(diǎn)的信息，每次進(jìn)入家庭無線范圍就會(huì)自動(dòng)接入，無線路由現(xiàn)在家家都有，我們都很習(xí)慣這個(gè)特性。

如果你很想知道原理的話，微博上的 @rayh4c 大牛（此牛會(huì)在9月12日的烏云峰會(huì)上講解Android攻擊的私房議題哦）給出了一份技術(shù)文檔，技術(shù)鉆研流可以閱讀下（文末有鏈接）。

所以當(dāng)你可以自動(dòng)接入偽造熱點(diǎn)的時(shí)候，我們就孤身同處一室了（啊不對，是同處一網(wǎng)），能進(jìn)行網(wǎng)絡(luò)監(jiān)聽。但我怎么建立大家都能接入的Wi-Fi熱點(diǎn)呢？這個(gè)難題三大運(yùn)營商合力給完美的解決了。

中國移動(dòng)熱點(diǎn)：CMCC、CMCC-EDU 等
中國聯(lián)通熱點(diǎn)：ChinaUnicom 等
中國電信熱點(diǎn)：ChinaNet、ChinaTelecom 等

這就是開篇時(shí)烏云君做的 地鐵偽造熱點(diǎn)的實(shí)驗(yàn)原理 了，首先以上熱點(diǎn)接入方式都是已知的（沒密碼么就是），然后是很多人都曾經(jīng)接入過（有個(gè)大招咱后面說），雖然官方WLAN服務(wù)上網(wǎng)還需要身份驗(yàn)證，但能讓大家都接入這就足夠了??！再次引用地鐵實(shí)驗(yàn)的結(jié)果，移動(dòng)設(shè)備都自動(dòng)到碗里來了。

可以在路由器上抓取明碼網(wǎng)絡(luò)通信，比如郵件協(xié)議的數(shù)據(jù)，明文賬號密碼被爆，這個(gè)請求是從Android自帶郵件客戶端發(fā)出的，你在用么？

但如果你說你沒接入過三大運(yùn)營商的WLAN服務(wù)，或我干脆刪了它，就不怕自動(dòng)接入了么？圖樣圖森破啊。一日烏云君把玩好友的國產(chǎn)手機(jī)（你們非得問名字！型號忘記了！商標(biāo)拼音讀了下念“來弄我”！你說到底是啥牌子的？），它竟然將兩大運(yùn)營商的Wi-Fi熱點(diǎn)內(nèi)置到你的手機(jī)中（電信好孤單），更有甚者一些手機(jī)中這幾個(gè)Wi-Fi你都刪不掉，碰到了就連上。

@ImaNewbie 針對@烏云-漏洞報(bào)告平臺(tái) 今天提出來的某國產(chǎn)手機(jī)會(huì)自動(dòng)連接CMCC，其實(shí)那個(gè)全球智能機(jī)銷量第一的手機(jī)也一樣，該手機(jī)型號為移動(dòng)定制“牛3”，自帶的CMCC和CMCC-EDU會(huì)自動(dòng)連接且無法刪除，甚至沒有辦法屏蔽掉……看懂了么，想刪都刪不掉啊，我不想連都不允許么？

一些微博網(wǎng)友向?yàn)踉凭虏郏?/p>

@Weimin_TM：華為不也一樣？深惡痛絕此功能

@cybergene：國產(chǎn)機(jī)大都如此，CMCC刪都刪不掉

@黑色的叛逆少年：看了下評論還真讓我想起了來弄我的某款電信定制機(jī)，電信熱點(diǎn)自動(dòng)連接，媽蛋root之后也去不掉 （烏云君插一句：root也不行？姿勢不對？）

@爾夫要把太陽吃掉：酷派表示會(huì)自動(dòng)連接CMCC

@軍號微博：根本無法分辨這個(gè)CMCC是假的。

@請叫我熊先森：定制機(jī)都這樣，小編白目啊，移動(dòng)應(yīng)該承擔(dān)這種偽基站W(wǎng)i-Fi的校驗(yàn)責(zé)任

我國各種大定制V587！想沒想過給用戶留下的隱患？起碼用戶能刪除吧。。。好了，兩種Wi-Fi風(fēng)險(xiǎn)都介紹完了，目前媒體對不可信熱點(diǎn)的關(guān)注度比較高，而更實(shí)用的偽造熱點(diǎn)關(guān)注卻不多，偏科不好。

在提下 釣魚Wi-Fi_百度百科 提到的“安全指南”，是不是有 關(guān)上了一扇門，又打開一扇窗的感覺？科普不到位。

前面的內(nèi)容看完后是不是這個(gè)情形？

機(jī)靈的你馬上問我?guī)讉€(gè)問題：

Q：我訪問HTTPS（SSL）加密的網(wǎng)站肯定沒事兒，他看不到明文傳輸?shù)男畔ⅲ苣臀液危?/strong>看這里看這里。

HTTP  數(shù)據(jù)傳輸（明文）：我的烏云密碼是123456
HTTPS 數(shù)據(jù)傳輸（加密）：涐の烏雲(yún)嘧碼媞①②③④⑤⑥

A：你以為黑客還是守著老路子不放，但實(shí)際可能早就換了方法。可以搜索下SSL胸器之中間人攻擊－SSLStrip，專業(yè)解釋不貼了。直接說人話就是他在網(wǎng)絡(luò)上做了手腳，成了黑中介，把你的數(shù)據(jù)騙過來裝成你跟網(wǎng)站通信，對于你來說網(wǎng)站還能正?；ソ?，所以妥妥的察覺不到。

頁面一模一樣不是么？其實(shí)是個(gè)套兒，目的是獲取HTTPS下面你的賬號密碼Cookie等敏感認(rèn)證信息。

Q：那安卓手機(jī)里這些刪不掉的運(yùn)營商熱點(diǎn)咋搞？

A：這個(gè)操作建議有動(dòng)手能力并且喜歡折騰的伙伴嘗試。安卓手機(jī)內(nèi)置并且無法刪除的CMCC等無線熱點(diǎn)，可以root系統(tǒng)后在 “/data/misc/wifi/bcm_supp.conf” 或是同目錄中的 “wpa_supplicant.conf” 文件中干掉他，如果你不知道文件結(jié)構(gòu)，那就破壞掉常見的運(yùn)營商SSID即可（比如CMCC改稱CMCCTUISAN這樣）。

Q：親哥了，咋root手機(jī)啊？咋找那個(gè)文件??？？咋改掉熱點(diǎn)??？？？啥都不會(huì)?。。?！

A：如果你不適合折騰的話。。。烏云君建議在公共場所關(guān)閉手機(jī)的Wi-Fi吧，安全還省電，多好。

說了這么多，該總結(jié)下重點(diǎn)了：

1、Wi-Fi攻擊軟件都很傻瓜化，而且竊取密碼只是其中一項(xiàng)功能，全用上能給你的移動(dòng)上網(wǎng)體驗(yàn)折騰的欲仙欲死、欲罷不能??；

2、公共場所的Wi-Fi確實(shí)存在風(fēng)險(xiǎn)，攻擊可以來自熱點(diǎn)設(shè)備，也可以來自其中的一個(gè)接入用戶。他們的攻擊效果都差不多，劫持、篡改、監(jiān)聽你的數(shù)據(jù)，比如郵箱、網(wǎng)購、微博、知乎啥的；

3、相比公共Wi-Fi，烏云君個(gè)人覺得偽造熱點(diǎn)更可怕一些，特別是國內(nèi)手機(jī)廠商的助力下，如狼得妹兒??；

4、對手中的設(shè)備和你的操作習(xí)慣也別過于自信，因?yàn)閺S商更想傳遞更好的用戶體驗(yàn)，而不是更好的安全性。

PS：最后附上前邊提到偽造Wi-Fi熱點(diǎn)原理的技術(shù)參考文檔 Open Wifi SSID Broadcast vulnerability 。這篇中有一個(gè)2012年做的測試，老外發(fā)現(xiàn)中招最多的熱點(diǎn)，和中招最多的設(shè)備，分享如下：

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。