黑客是如何通过公共WiFi窃取邮箱、密码、正在使用的App等信息的?

2015年,央视315晚会现场找了戴着眼罩的工程师来演示,如何通过公共WiFi,获取用户手机的操作系统、正在运行的App等信息,甚至还可以获取到用户手机中存储的邮箱、密码等隐私信息。这个是怎么做到的?

2016年315晚会 现场测试,连上一个免费WiFi,只要打开消费类软件,订单和消费记录统统被提取!包括你的电话号码、家庭住址、身份证号码、银行卡号、甚至哪天几时你看了一场什么电影……



推荐  (1) | 33人关注关注
24个答案
35 0

16年3.15更新补丁:
今年演示的是怎么回事儿呢?和去年的情况类似,也是没加密的锅。
所有数据直接明文推拉,啥都看光了。

普通用户要怎么避免?别连不可信的公共Wi-Fi公共VPN、代理服务器等也算)、别在不可信的网络环境下进行敏感操作。与此同时,如@Moonwalker 所说的,不要无视浏览器的证书错误提醒、不要乱装安全证书,否则HTTPS也救不了你!
同时,向开发商多提提意见,指望他们能快点更新、加强一下安全措施吧……

一定程度上说,大型APP开发商对信息处理的完善程度会比小开发商要靠谱。虽然这个在并不怎么重视信息安全的中国不算可靠,但作为一个简要的判断手段,还是比较有效的。

=========================================================

一个猜想,不一定对。

目前主流的邮件客户端与邮件服务器通讯,收取/管理邮件的时候,都是通过POP3协议进行操作的。问题在于……在不使用SSL/SPA的情况下,密码是明文传输的。

此时只要抓包分析就可以获取到邮箱密码。

顺便说一下对获取所装应用的手段猜测,本来我以为是利用了某些第三方统计工具的漏洞,后面一想觉得这个猜测有些不太靠谱。问了一下@Racoon 这个环节上出现的APP有哪些,能回忆起来的只有QQ、Zaker和今日头条这三个应用。

而这三个应用在网络切换后都会主动连接服务器获取信息。此时根据所用协议和所访问的服务器地址就可以倒推出是哪个应用进行的网络操作。

大概就是这样~

28 1

我们把数据包当做“信件”来看一下吧。

首先看一下如何获取操作系统信息,获取操作系统信息都是利用所谓的“特征码”,或者说指纹。不同操作系统发送数据包的过程中,会出现一些特有的行为,比如TTL值、IP头部信息。比如张三喜欢用牛皮纸做信封、并且常用黑色钢笔;李四喜欢用铜版纸做信封,常用蓝色圆珠笔。那么根据这些信息就可以大概判断出是谁发送的信。同样的,也可以判断出是哪些APP发送的数据。

接下来就是如何截获用户名密码,很多人设置客户端邮箱的时候没有注意到“使用安全链接(SSL)”的选项,所以发送的邮箱用户名密码,甚至邮件内容都是明文的。如果一份信件被投到了一个假的邮筒,那么假邮筒的拥有者就可以随意查看你的信件内容了。但是张三和李四约定,写信的时候会把字母A替换成C,把字母B替换成Z等等,这样别人看到的就是一堆乱码了。而SSL是更为复杂和安全的加密方式。我们浏览网站的时候会看到有些网站是https:// 开头的,而不是http:// ,这类网站就是使用了SSL加密技术(不过现在注重安全的网站都会升级为TLS,安全等级更高)。类似的,把A替换成C,B替换成Z这样写起信来速度很慢,SSL也会导致速度变慢,所以有些网站会把网页上部分重要内容使用SSL加密,部分内容使用明文传输。这样做虽然可以防止窃听,但是可以被中间人攻击篡改页面,导致客户端使用明文发送用户名密码。

前面有人提到使用sslstrip可以破解SSL,它的原理就是制作一个假的服务器证书来欺骗客户端,一般浏览器都可以发现假的SSL证书并弹出警告,如果忽略警告就会被盗取信息了。(sslstrip也可以把https:// 强行修改为http:// 这时候不会弹出安全证书提示,也需要注意)

使用公共wifi的时候一定要注意,不要在http:// 开头的网址上输入密码等信息。不要使用同一个密码注册多个网站。如果你的网络服务提供商不可信任(比如房东直接从交换机拉一条网线给你),那么也要小心密码被盗或个人信息泄露。翻墙也是一样的,翻墙服务提供者可能时刻监视着你的数据流量

另外补充一点,在一些个人或中小企业网站注册的时候要特别注意,不要使用和敏感账户(如支付宝、QQ、邮箱)相同的密码,一般这些网站都不会加密存储你的密码。也不要在上面留下个人专用的联系方式,发布可能泄露个人信息的内容,个人信息的泄露跟密码泄露都是一样危险的事情,必须要重视。信息安全界的“社会工程学”就是利用这些信息来实施入侵的,往往比直接使用技术手段更加高速有效

15 0

黑客搭建个开放的热点,别人连上去之后他就可以用截包工具监控着传输的数据,有些网站在网络传输过程是没加密的,你的隐私或者敏感信息很容易就被他拦截到了,举个栗子,我用个测试账号(账号:test_account,测试密码test_password)登陆下学校邮箱全程用wireshark截包,然后找到相应的数据居然就直接看到明文密码了,,,见图。。。必须吐槽下这

还好现在大多数主流邮箱都是加密的但这只是那邮箱栗子所以平时上网还是要小心点额

利益相关:不是黑客

12 0

渚熏软件工程师,网路安全从业者

2015-03-17 14:11

协议本身不安全如http之类的容易被窃听的就不说了,咱们来找几个用了加密协议然后仍然被搞的。

58同城app让用户名密码明文泄漏

http://www.wooyun.org/bugs/wooyun-2010-074531

国内绝大部分Android APP存在信任所有证书漏洞

http://www.wooyun.org/bugs/wooyun-2010-079358

亚马逊最新官方android版存在一处信任所有证书漏洞

http://www.wooyun.org/bugs/wooyun-2010-079350

51信用卡管家最新android客户端存在7处信任所有证书漏洞

http://www.wooyun.org/bugs/wooyun-2010-079325

这些还是我在乌云随手搜的例子,都是用了https加密的,但是用了https加密,但是没检验证书合法性,所以就相当于地铁的安检挨个都检查了身份证,然后发现了假身份证什么动作都没有一律放过,这样的加密毛用都没有。

即使是正经官方的app也会有漏洞,即使是加密了也会被人轻松解密,所以有些说https加了密、用了官方app的就无敌了的就省省吧。不明来路的wifi就是不安全,这些官方app自己都存在漏洞的情况下,普通人更是无法分辨是不是可以安全 使用的情况下,大嘴一张用了https加了密就如何如何、用官方的就如何如何,只能说明自大无知

3 0
支持者: 1312449403 Kevin.W Racoon

局域网内抓包嗅邮箱密码本来就是公开的秘密,十几年前就很“成熟”了(回想那个做黑客都不用啥成本的Win9x年代)。稍后一点,就有人发现不加密的Wifi更是减少了嗅探难度(不用物理上接入线网)。不法分子提供加密的wifi,主机受自己控制,跟局域网里也没啥差别,照样嗅探。所以系统和应用自身的加密才显得重要。

至于用什么系统、什么APP,如果你都能够抓包了,探一下端口就大概能知道哪些APP在运行,不过目前的主流APP应该都会传输加密的,至少登陆信息会加密(也不是什么难事,定期强迫升级,更换下密匙,加不同的盐)。

媒体对网络/电脑安全的报道总是很滞后的。如以我为例(业余编程爱好者),靠自己就能发现Office 97的致命漏洞(大概是03年,还有人用97的,具体来说就是放PPT时可以后台运行嵌入其中的EXE)、发现屏保居然只是可执行文件改个后缀、靠后门API可以QQ时打开对方的摄像头和远程控制、用虚拟摄像头玩视频聊天(那年的愚人节真的玩得好爽)。而上述这些安全隐患大概过了2~5年后我才在新闻里看到。

所以不要盲目自信,操作系统的官方补丁随时补上,要装杀毒软件;不要用太老的应用和操作系统(旧系统漏洞早就被发掘多时了,比如被人远程打开telnet服务你怕不怕?),不要多个网站使用同一组账号密码(否则很容易一锅端);不要太信奈手机上的第三方应用商店(我就在91里下载过一个加过料的百度知道,密码马上就丢了),而尽量在该应用主页上下载更新(Google商店也行,不过现在怕是连不上了);手机SD卡能加密就全盘加密;电脑用户要合理控制权限(木马最喜欢的就是管理员权限了,特别是无权限提醒的XP)。

还有很多安全隐患的坑,反正觉得现在都没啥是安全的了。

1 0
支持者: 渚熏

MITM,常说的中间人攻击方法。https的可以用sslstrip处理一下

0 0

简单的说你使用了这个WIFI服务器以后,你所有的上网数据包都会通过这个服务器,黑客做的就是截获这些数据包,破解他们,获取里面的内容。

0 0

反正 没有https 我是不输入密码的。

0 0

最大的可能是2个方面吧

第一就是网络数据会被截取,反破译 得出用户名 密码 ,当然现在很多涉及到金钱的网站都是https

第二就是劫持dns 让你进入钓鱼网站 从而直接获取你的用户名 和密码

第一 困难 破译加密协议,第二 简单 但是却有迹可循

0 0

如果公司机房的技术人员对此进行监控怎么办?

0 0

只会说不会弄,开热点,本机电脑为路由器,DNS更改指向自己做好DNS,里面无关紧要的地址挂的都是正规网站,涉及到网银、支付宝、淘宝等等等等,能套到钱的指向自己做的伪网站,页面完全COPY正常页面,等待你输入密码,后台直接下载用户名密码,前台网站告诉你密码错误或者网络不稳定不辣不辣等等方法拖延,上线,验证密码,套钱。比如冲电话卡之类的,往大了玩,你登陆告诉你密码被盗取,要你登录银行网站,还是伪网站(工作量有点大得多COPY几个),套取你用户名密码手机验证码,直接转账套现。

你自己想想就算你当时发现不对劲,最快的方法是直接给银行客服打电话冻结自己的账户,各位可以试试需要用多久,更有甚者那些菜鸡只是发觉不对,关机走人爷不玩了,你账号密码已经在盗取者手里,几个小时后大奔就改奔奔了。

刚刚想到的,诱骗登录伪网站,你输入用户名密码直接跳转到正规网站继续操作,技术笨的直接在伪网站上套完用户名密码直接跳转,你发现网站怎么没登陆,你直接再输一边的可能性有多大。人家后台等你走了再套钱,你再发觉那就可能是几个小时或者几天后的事情了,再或者勤快点的直接跳转正规网站用户名密码都给你输入好了直接进入了,你会有感觉吗?

0 0
0 0

不懂,问下,IOS的会不会比安卓安全一点,或者某些方面安全一点。。。

0 0

针对APP其实最简单的方法是最自己的自签证书进行认证,不过貌似现在的程序都怕麻烦,干脆直接信任任意证书,这样很危险,很危险,很危险,重要的事情说三篇,别说wifi即使是有线网络都非常危险!!!

0 0

就数据包来源不是sniffer 就是转发截包,几十年前就烂大街的,只不过那时候只有有线网络,电脑也少,也不存在网络支付,都是自己玩玩,最多丢个密码,现在都无线了,也能支付了,所以价值就有了,技术都是现成的。

另外大部分的规范APP涉及到这些问题都走的https,新闻的重点应该是要求APP提供商应该从设计上就考虑这个问题,而不是用这些例子来吓消费者

0 0

Wi-Fi 在网络中是通过路由来实现的。

而在路由中,每时每刻都不断收到和转发着如下图一样的包

这其中有 ARP 协议、IP 协议、Ethernet 协议、TCP 协议等等一大堆的协议。而且还有可能有一些需要网络通讯软件自定义的通讯协议。

通过辨别通讯协议的类别,包的长度、内容就可以大概了解到用户正在使用什么软件,网卡的物理地址等信息。

此外,很多小网站没钱买 HTTPS 服务器对链接进行加密。因此访问这些小网站的时候,如果进行了登录操作,用户名和密码很可能就可以被路由器的管理员截取。而很多人又经常只使用同一个用户名和密码……

最后,黑客还可能将用户发送的请求重定向到自己的钓鱼网站,用钓鱼的方式获取用户私密信息。

以上。

1 2
支持者: 风中的承诺

用gmail应该没事,可惜天朝封了,所以还是想办法翻*墙最安全

0 1

以上这些讨论在黑客、网络警察、国安局的人看起来都是不值一提的,窃密与反窃密是天生的一对矛盾。

0 1

简单说,就像你给朋友发短信一样,这来去的信息是通过网络传输的,黑客在这网络上使用某种软件达到偷听、偷看的目的。

同理,登录论坛的账号、网银的账号和密码、论坛上的发帖内容、电子邮件内容,可以被偷看得一清二楚。

某个个人干得,就叫黑客。。。政府干得就叫监听。。。斯诺登爆的料不也说的是相同的事情嘛。。。。

总之,有种捡芝麻丢西瓜的感觉!

0 1

简单来说是浏量劫持。

第一步,就是黑客先让你的手机接入自己设立的AP。简单一点儿呢,就是直接开启个免费的wifi等着人来链接。复杂一点儿就是伪造权威的AP。公共wifi的本身就是可以伪造的,只要是同名相同验证方式的AP,手机就会合并成同一个显示,手机会自动选择一个信号最好的链接。所以对于没有密码或是大家都知道密码的wifi只要黑客设立一个足够大功率的AP,就可以等着大家来连了。

第二步,方案1简单的方式,抓包。成为手机的AP之后,手机所有通信的流量都是通过黑客设立的AP转发的。既然是转发,意思就是说,手机发给黑客的AP,黑客的AP跟实际的服务器通信,然后把返回的数据发给手机。那么此时黑客的AP就可以悄悄的留一份,如果这个手机软件跟服务器通信的数据是没有加密的,显然黑客就可以直接看到你的密码。如果密钥简单的话也是可以破解的。

第二步,方案2伪造服务器。既然手机首先把数据发送给AP,AP跟服务器通信,然后把数据返回给手机。既然数据的发送接收完全由AP代理,这个时候如果AP随便弄点儿数据,发送给手机,告诉手机这就是正规的服务器返回给你的。所以如果手机缺乏认证数据来源的方式,那么黑客就可以伪装成服务器跟手机通信,这个时候黑客就可以通过假服务器向手机请求任何允许的数据。甚至可以让手机弹出对话框让你输入各种信息(用户一看是正常的APP,很大可能就填了)。

第二不,方案3更加牛x的方案,缓存。手机里面还有个叫缓存的东西。有一部分手机运行的代码是从服务器请求的,而为了加快速度,手机请求之后会存储这一部分代码,下次使用的时候就不再重新请求,而是直接使用暂时保存的请求,而存储这部分代码的时间是服务器可以控制的。既然黑客可以伪造服务器,那么就可以返回一段恶意代码,然后让手机一直保存着这段恶意代码。这样即使用户断开了黑客的wifi,这段代码仍然会正常工作,窃取用户信息。

那么现在来说防范:

基本上,第一步是整个wifi协议的漏洞,没有办法防范。只要你连公共的wifi,那么总有可能是黑客设立的。除非你不连wifi(注意哦,wifi有自动链接功能哦)

所以我们就只能从第二步防范:主要的方法就是通信加密和服务器认证。其实基本上这两个都是采用了同一种方式,证书。一般APP和服务器加密认证都是通过证书。(原理就不说了),证书是一个用户预先信任的文件,具有加密和认证服务器的功能。基本方式是,由用户信任证书,证书认证的服务器都会被手机认为是合法的服务器。因此用户能做的就是,不要随便信任安装来源不明的证书。

如果本身APP采用了不加密的方式跟服务器通信的话,唯一的防范方式就是不要用wifi,不要用这个APP。

结论就是:除非APP采用了加密的通信方式,否则只能任人宰割。可是天朝的软件,有多少公司为了少写代码,尽快发布使用不加密的通信方式。即使加密通信黑客还有一条路就是诱骗用户信任他伪造的假证书。

所以,看命吧。。。。。。。。。

2 8
支持者: 黑色翅膀 Xsoda

别逗了,你盗个https的我看看。

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2015] 0609-239号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区