文章來源:arstechnica,由 TECH2IPO / 創(chuàng)見 阮嘉俊 編譯
一直以來,人們對于飛機上的 Wi-Fi 都存在著一點疑慮:黑客是否能通過 Wi-Fi 入侵飛機的電子設備呢?在去年,一位安全研究人員表示飛機確實可能存在這個風險?!督袢彰绹罚║SA Today)的專欄作家史蒂芬 · 彼得羅于近期透露,飛機上的乘客在連接 Wi-Fi 的情況下確實有可能被黑客盯上。在一次飛行經(jīng)歷中,曾經(jīng)有一位男子接近了彼得羅,他聲稱自己已經(jīng)獲得了彼得羅的郵件內(nèi)容,甚至還展示了一些彼得羅正在撰寫的故事素材。
彼得羅為移動設備的隱私保護提供了幾個建議,例如設置安全性能更強的密碼以及密碼管理員,使用經(jīng)過加密的消息應用等等。但這些措施還是不能阻止他被黑客入侵的局面。飛機上的 Wi-Fi 為黑客削弱其他乘客設備的安全等級提供了一個完美的環(huán)境。盡管想要提升機載無線網(wǎng)絡的安全等級并不困難,但網(wǎng)絡提供商卻并不急于這樣做,因為這對于它們而言毫無利益可言。
等你登陸公共 Wi-Fi 的時候,你的一部分個人信息會被網(wǎng)絡的監(jiān)控者獲?。òňW(wǎng)絡服務提供商、營銷服務提供商以及別有用心的入侵者等)。在此前的測試中,我們曾經(jīng)見過有些 iPad 和 iPhone 在進行網(wǎng)絡驗證的時候會顯示用戶的名字,黑客甚至可以看到這些設備所瀏覽的網(wǎng)站以及正在使用的應用軟件。在這個過程中,用戶的個人數(shù)據(jù)就會泄漏。和彼得羅所遭遇的境況一樣,舊式的 POP/SMTP 郵件信息很可能會黑客入侵。
如「Gogo Wireless」(彼得羅在飛機上所使用的服務)以及「Global Eagle Entertainment」等機載 Wi-Fi 服務,從本質(zhì)上和咖啡廳、商場、酒店等公共場合的 Wi-Fi 服務沒有任何區(qū)別,這類服務會通過一個「強制門戶」(一個彈出式的登陸窗口)授權用戶進行登陸,用戶在登陸之前需要支付一定的金額或者同意使用條款。由于 Wi-Fi 連接沒有密碼保護,用戶登陸 Wi-Fi 的原始數(shù)據(jù)自然也得不到保障,因此黑客可以輕而易舉地截取用戶發(fā)送及接收的信息。
一些機載 Wi-Fi 的隱私保障級別甚至比公共場合的網(wǎng)絡還低,在這種情況下,用戶遭受黑客入侵的風險會大大提高。這些機載無線網(wǎng)絡通常會在有意或者無意的情況下阻隔一些最基本的網(wǎng)絡安全工具,例如可以保障數(shù)據(jù)安全的超文字傳輸協(xié)議(HTTP)以及一些虛擬專用網(wǎng)絡等。Gogo 在設計網(wǎng)絡時優(yōu)先考慮的是執(zhí)法機關的需求,這家公司的高管在 2012 年曾經(jīng)給聯(lián)邦通信委員會(Federal Communications Commission)撰寫信件,以抗議委員會的監(jiān)視要求:
在現(xiàn)有網(wǎng)絡的設計工作中,Gogo 一直和執(zhí)法部門緊密合作,以保證產(chǎn)品的功能足以保護公共及國家安全利益。Gogo 的網(wǎng)絡完全合乎《通信協(xié)助執(zhí)法法案》(Communications Assistance for Law Enforcement Act)的要求,委員會的指導準則也并未要求被授權商以超出《通信協(xié)助執(zhí)法法案》要求的尺度支持執(zhí)法過程。盡管如此,Gogo 還是和聯(lián)邦機構達成了共識,我們會盡自己能力保障執(zhí)法過程的順利進行。為了達到這個目的,Gogo 將執(zhí)法方面的考慮納入了系統(tǒng)設計當中。
Gogo 和 Global Eagle 似乎都阻隔了一些商業(yè)化的 VPN 流量。實際上截至去年為止,Gogo 一直有向?qū)彶樵S可達到要求的網(wǎng)站發(fā)送授權證書,其中就包括廣受歡迎的搜索引擎 Google。即便是在使用看似安全的 Google 進行搜索,Gogo 還是可以對用戶所查閱的內(nèi)容進行審查。正是出于審查的考慮,Gogo 一直在努力防范用戶瀏覽那些不符合審查要求的網(wǎng)站。例如在數(shù)年前,Ars 便發(fā)現(xiàn)了 Gogo 對他們的網(wǎng)站進行了阻隔。通過剝離網(wǎng)頁瀏覽模塊的安全套接層協(xié)議(Secure Socket Layer),執(zhí)法部門可以更好地監(jiān)視乘客在飛機上所瀏覽的內(nèi)容。
西南航空的網(wǎng)絡供應商 Global Eagle 也選擇將 HTML 注入到未經(jīng)加密的網(wǎng)頁之中:他們會在網(wǎng)頁的三方安插一個實時航班信息提示欄,該提示欄會對所有非安全套接層協(xié)議的網(wǎng)絡連接推送廣告。但這個提示欄有時會打亂網(wǎng)站的樣式表。目前這兩家公司都沒有對其網(wǎng)絡管理及監(jiān)視行為發(fā)表評論。
理論上,使用安全套接層協(xié)議雖然足以保護乘客免收來自其他乘客的入侵,但面對真正的黑客,這個協(xié)議的安全等級顯然還不足夠。黑客可以通過使用 2 個 Wi-Fi 適配器(其中一個通過惡意軟件模仿機載 Wi-Fi 接入點,另一個則連接正常的機載 Wi-Fi)模擬出 Gogo 的效果,他們可以通過模擬 SSL 代理服務器發(fā)起「中間人攻擊」(Man In The Middle)。
黑客甚至還可以通過向網(wǎng)絡連接頒發(fā)虛假證書的方式讀取傳輸過程中的所有信息,隨后再將信息進行二次加密并發(fā)送至正式網(wǎng)站上。在通常情況下,這類供給會觸發(fā) Chrome 或者 Firefox 等瀏覽器的預警機制,瀏覽器會發(fā)出危險預警。但黑客可以通過「SSL Strip」等工具將用戶的連接導向至不安全的網(wǎng)站,他們可以通過這種方式盜取用戶的登錄信息。
并不是每一個人都能感覺出被攻擊時的網(wǎng)絡延時,因為機載 Wi-Fi 要么依賴衛(wèi)星通信,要么依賴速度相對更快的空對地蜂窩無線電通信。中間人攻擊并不會引發(fā)明顯的延時現(xiàn)象。
此外,黑客甚至有可能通過機載 Wi-Fi 向乘客的設備發(fā)起直接攻擊。機載 Wi-Fi 在本質(zhì)上是開放式的無線 LAN 網(wǎng)絡,黑客可以向網(wǎng)絡中的其他用戶發(fā)起攻擊。黑客甚至無需支付任何資金即可對用戶發(fā)起攻擊,因為 Gogo 和 Global Eagle 這兩家公司都會向用戶提供免費的流媒體服務。此外,想要短時間繞過付費門檻其實并不困難。
因此,你應該如何在飛機上保障自己的隱私呢?
盡可能使用 VPN 連接;
確保自己有激活電腦自帶的防火墻并關閉所有共享服務;
檢查網(wǎng)站的安全證書,Chrome 和 Firefox 這類瀏覽器一般都能夠識別虛假證書。一旦受到證書警告,切勿繼續(xù)瀏覽網(wǎng)頁,你應該等待飛機著陸后再通過安全的網(wǎng)絡工作。
如果這些措施都沒有湊效,你應該直接關閉 Wi-Fi 連接并盡量通過線下的方式享受旅途——你可以看看窗外的風景,有或者閱讀飛機上的雜志。(來源:創(chuàng)見科技)