你浏览的网站可能是个假网站！WiFi又被曝光重大安全漏洞

今年央视315晚会报道WiFi探针收集用户信息的热度还未消退，近日在在加拿大温哥华举办的世界顶级信息安全峰会CanSecWest2019上，WiFi又遭曝光一个重大问题：攻击者可以利用公共WiFi把用户导向钓鱼网站，完成信息或经济侵权。

阿里安全猎户座实验室资深安全专家侯客、高级安全工程师青惟披露了这一研究成果。他们在演讲中建议，用户在公共场所尽量避免使用公共WiFi，而应使用移动网络上网。他们还呼吁，保护WiFi安全需要行业各界共同努力，去年6月已推出新标准WPA3协议，应加速推行这一新标准的普及落地，替代WPA2，保护用户安全。

侯客介绍，WPA全称为WiFi Protected Access，有WPA、WPA2两个标准，是一种保护无线网络WiFi存取安全的技术标准。目前，WPA2是使用最广泛的安全标准，不过自2004年推出以来，已陆续有研究人员指出其存在的缺陷可导致WiFi不安全。

阿里最新的研究发现，攻击者可以被动的监听用户与WiFi接入点的通信，在适合的时机发送伪造的数据或者劫持用户与WiFi接入点的连接，篡改正常的通信内容，导致用户访问交互的数据中途被篡改。

通俗的说，当用户在家里、酒店、餐厅、商场等一些场所，用共享密码的WiFi浏览网页时，攻击者透过该缺陷，可以引导用户到假的网站，甚至篡改用户正在访问网站的内容。

央视315晚会曝光的WiFi探针，仅是收集用户信息，进而通过其他关联信息给用户画像，而这次新发现的风险更为严重。“访问虚假的网站被钓鱼后，用户的账号密码也有被窃取的风险，进而遭受经济损失。”