城市WiFi的安全风险

随着智能手机的普及，城市公共电话亭几乎沦为摆设，大面积亏损，造成公共资源的极大浪费。纽约市曾为此发起一场竞赛，征集有效利用电话亭的创意方案。最终Clark Kent的方案拔得头筹——将电话亭改造成千兆互联的公共WiFi热点，也就是所谓的LinkNYC无线城市项目。

LinkNYC无线城市项目的实施给纽约人的生活带来了极大的便利，大大减少了他们的移动数据流量费用支出，但同时也带来了巨大的安全隐患。

LinkNYC提供了无线加密选项，这让任何了解WiFi网络安全风险的专业人士松了一口气，众所周知没有加密的WiFi热点意味着任何人都可以从空中截获用户数据，此外不设防的WiFi网络还容易让用户遭受流氓AP和中间人攻击，例如Pineapple WiFi这种在一年一度的Defcon黑客大会销量很好的无线渗透测试工具(下图)。Pineapple采用一种被称为KARMA的攻击方式，利用移动设备会自动广播历史热点名称的缺陷，通过广播假冒AP名称的方式来诱使移动设备与其自动连接。这也是安全专家总是建议避免使用公共WiFi热点的原因，因为假李鬼比真李鬼更热情主动。

WPA2提供的安全感是一种幻觉

LinkNYC无线城市面临的安全问题取决于其加密方式，当前WiFi加密最基础或者说最流行的是WPA2-PSK预共享秘钥方式，移动设备必须输入路由器上预设的预共享秘钥才能接入。客户端与AP之间会进行四次握手，来确认双方的口令一致。这种加密方式在家庭和中小企业中非常流行，但这种方法仅仅是“防君子不防小人。”

WPA2-PSK最大的安全隐患在于其无法保证AP的真实合法性，随着SSID和预共享秘钥的分享成风（例如WiFi万能钥匙），恶意攻击者非常容易假设流氓AP来欺骗移动客户端。攻击者甚至能发送大量的假冒802.11 deauth帧让区域内所有的客户端与合法AP断开连接，转而与流氓AP连接。因此，WPA2给人的安全感实际上是一种幻觉。

当攻击者用同样的手法来假冒官方LinkNYC城市热点网络，那么整个纽约市的个人信息安全都将受到威胁，对个人隐私数据的大规模“采摘”将导致严重的公共信息安全事故，这是一个迫在眉睫的安全威胁，因为如今太多移动应用通过HTTP或者糟糕的SSL部署来发送敏感的个人信息。

在中间人攻击中，攻击者可以替换用户的下载文件，在流量中注入恶意的JavaScript脚本，甚至通过缓存毒化技术，攻击者可以让受害者的设备自动攻击其他系统。

如果攻击者控制了足够多的设备，各种SSL攻击，例如LogJam、FREAK、Lucky13和SLOTH都将变得成本低廉，这将吸引更多网络犯罪分子在攻击弱SSL上进行投入。

事实上能够有效保障无线城市级别的WiFi网络的安全机制是采用802.1x证书认证方式。这种方法利用公钥加密技术确保客户端能够对AP的合法性进行认证，缺点是这种技术会牺牲使用上的便利性，但这绝对是值得和必要的。

采用802.1x证书认证的强加密方式意味着所有无线城市用户在建立连接前都需要预先注册服务并在设备中安装一个或多个证书。如果纽约市的无线城市采用这种强加密机制，那么我建议所有的LInkNYC用户都转而采用这种方式，彻底抛弃那些危险的开放网络或者WPA2-PSK加密WiFi热点。

目前看来主要的公共WiFi运营商们不太可能限制所有访问都基于802.1x证书认证方式，

LinkNYC的管理者正在综合评估各种风险，相信他们最终会给用户提供更多的安全选择。

本文由安全牛授权独家发布