特约撰稿人 | 吴茂林

“钓鱼Wi-Fi”肆意横行手机安全保护还需“从我做起”

特约撰稿人 | 吴茂林

事实上，很多手机信息的泄露都与用户自身的使用习惯相关，再加上真正的安全手机并未大规模普及，这也造成了手机安全防范的硬件短板。

在今年“3·15”晚会上，有一个环节是黑客通过“钓鱼Wi-Fi热点”劫持用户手机并获取其内部私人信息的现场演示，其结果让现场观众触目惊心，也让手机安全问题又一次曝光，到底什么样的手机才是安全的，难道我们真得只能天天生活在没有任何安全感的移动互联网环境下吗？我们还敢用手机银行吗？

手机客户端支付还是安全的

在“3·15”晚会的演示环节中，现场观众只是登录了一个模仿日常Wi-Fi热点的“钓鱼Wi-Fi”，个人隐私就被泄露了——不仅图片被黑客获取，浏览图片信息也被截获，连手机里的邮箱和密码都能辨识出来。这让很多现场观众忧心忡忡，既然黑客通过技术手段可以获得手机里的照片、邮箱和密码等信息，那么当我们在手机上通过手机钱包进行网上支付时，存储在手机中的账号和密码，是不是也会很容易地被黑客获取呢？答案是：不会。

事实上，央视“3·15”晚会上模拟的黑客行为叫做“数据劫持”，通过“钓鱼热点”连接上目标客户的手机，然后目标终端上的任何操作和请求的信息流，都将被这个伪造的热点截获，所以才有了上述的表现。至于为什么连用户手机中的电子邮箱的密码都能获取？是因为E-mail的SMTP和POP协议都是明文存储密码，所以容易被一些恶意软件和网络行为钻了空子，从而轻易获取。

但是，诸如手机银行、手机支付宝这类的应用都是通过HTTPS等加密方式进行数据传输，包括一些银行的安全控件机制，就算数据包被不法份子劫取，没有密钥的话，它也只是一堆无意义的代码，无法破译出真正的密码。所以，从技术角度来说，银行推出的手机银行客户端在安全上是有保证的。

需要特别提及的是，用户在使用手机银行时存在的不安全因素多体现在实际操作中，特别是当用户的手机丢失或者中病毒之后，其手机中的相关信息就有可能被泄露。而用户只要在日常生活中做到以下几点，基本可以保证手机银行的安全。

良好的使用习惯是安全防范的核心

事实上，很多手机信息的泄露都与用户自身的使用习惯息息相关，再加上真正的安全手机并未大规模普及，这也造成了手机安全防范的硬件短板。

提到网络不良使用习惯，当属免费Wi-Fi的“蹭网”行为。目前，中国公共场所Wi-Fi热点覆盖至少超过千万个，Wi-Fi服务几乎成为了公共场所服务范围内的标准配置， 而虚假Wi-Fi“钓鱼”则是当前免费Wi-Fi的主要安全风险之一，今年“3·15”晚会现场黑客盗取用户隐私的主要方法也是利用了虚假Wi-Fi“钓鱼”的手法，吸引用户通过移动设备接入该网络，然后再通过分析软件窃取这些接入虚假Wi-Fi热点的用户资料，从而破译用户的个人信息。

要想防范日常生活中的这些风险，笔者在此给大家一些建议。

第一，不要在公共场所随便使用免费Wi-Fi登录，特别是在不清楚Wi-Fi来源的情况下，更不要随便利用外部Wi-Fi登录手机银行，不要打开来历不明的短信或彩信，下载安装软件时要谨防“木马”。建议先确认Wi-Fi的拥有者身份，最直接的办法就是密码的获取，无论是从运营商短信还是直接询问拥有人，都可以从客观上确认Wi-Fi的真实性。

第二，手机银行设立合适的转账额度。如果平时只是小额支付或充话费，可以把交易额度设定得低一些。如果需要大额转账，可以通过网银临时调高额度，转账完毕之后再调回。

第三，注意密码保护，最好为支付账户设置单独、高安全级别的密码，要注意密码应与邮箱、微博等应用的密码有所区别，防止邮箱被攻破后不法分子利用“撞库”技术获取银行密码信息。

第四，尽量用本机自带的软件商店下载软件，不要下载其它来路不明的软件，这些APK可能含有“木马”——让你手机如同裸奔。如果手机丢失，要及时冻结手机银行相关功能，避免更大的损失。

另外，手机用户连接免费Wi-Fi可先通过“腾讯手机管家”进行网络安全检测。安卓版的“腾讯手机管家”用户，可对所链接的免费Wi-Fi进行“DNS劫持”、“ARP欺骗攻击”、“虚假钓鱼Wi-Fi”等多项安全检测，确保接入的免费Wi-Fi安全无风险。

想要安全就要用“安全手机”

除了软件防护和注意日常行为习惯之外，如果能从硬件上进行手机信息安全的防护，那么手机安防工作将事半功倍。目前国内主攻安全的手机厂商主要有酷派、中兴、华为等。酷派有一款名叫“铂顿”的新品，提出了“双系统、硬隔离”的概念，将安全级别提高到军事级芯片加密的水准。平时应用的智能操作系统与普通的安卓手机无异，不影响用户的正常使用；需要安全防护时，通过一键切换，不到一秒钟就能进入保密模式。在这种模式下，用户只能接听拨打电话、发送短信，任何GPS定位及网络访问全部被隔断，以此保障用户的图片和个人隐私都不会被泄露。

中兴也推出了“十防”手机，即防窃听、防泄密、防跟踪、防盗、防吸费、防诈骗、防病毒、防骚扰、防流氓、防卡慢等十项功能，而且这款“十防”手机将安全功能根植于系统底层，无需开放Root权限，大大提升了安卓手机的安全性。不过，因为局限于软件层面上的短板，在安全性上还是与酷派“铂顿”的硬件隔离技术存在一定差别。

另外，苹果iOS系列也有一套封闭独立的系统和基于此系统的安全机制，相对于安卓系统的开放环境而言，苹果iOS的安全性更高，可以说是天生的“安全手机”，至少相较于安卓系统而言，使用iPhone手机进行一般性的小额支付在安全性方面更有保障。