惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Stack Overflow Blog
Stack Overflow Blog
Simon Willison's Weblog
Simon Willison's Weblog
B
Blog
V
Visual Studio Blog
G
Google Developers Blog
云风的 BLOG
云风的 BLOG
S
SegmentFault 最新的问题
博客园 - 司徒正美
博客园 - 【当耐特】
T
Tenable Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
宝玉的分享
宝玉的分享
N
Netflix TechBlog - Medium
S
Secure Thoughts
Hugging Face - Blog
Hugging Face - Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
IT之家
IT之家
Google DeepMind News
Google DeepMind News
Last Week in AI
Last Week in AI
大猫的无限游戏
大猫的无限游戏
PCI Perspectives
PCI Perspectives
H
Hackread – Cybersecurity News, Data Breaches, AI and More
阮一峰的网络日志
阮一峰的网络日志
P
Privacy International News Feed
N
News and Events Feed by Topic
H
Hacker News: Front Page
MongoDB | Blog
MongoDB | Blog
Google DeepMind News
Google DeepMind News
F
Full Disclosure
Google Online Security Blog
Google Online Security Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
H
Heimdal Security Blog
Project Zero
Project Zero
C
CERT Recently Published Vulnerability Notes
MyScale Blog
MyScale Blog
AI
AI
月光博客
月光博客
C
Cyber Attacks, Cyber Crime and Cyber Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
WordPress大学
WordPress大学
L
Lohrmann on Cybersecurity
TaoSecurity Blog
TaoSecurity Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
C
CXSECURITY Database RSS Feed - CXSecurity.com
Spread Privacy
Spread Privacy
Apple Machine Learning Research
Apple Machine Learning Research
GbyAI
GbyAI
SecWiki News
SecWiki News
C
Cisco Blogs
The Last Watchdog
The Last Watchdog

李锋镝的博客

LiteLLM 本地代理搭建 Claude-HUD 使用文档 Kratos+ —— Kratos 主题二次开发记录 译文:如何将单体应用拆解为微服务 codebase-memory-mcp 极简完整使用指南 Claude Haiku 4.5、Claude Sonnet 4.6、Claude Opus 4.7 区别以及各自的新特性 SchedulingConfigurer详解 踩坑60+次后,我终于搞懂 Claude Skill 怎么写才会真的触发 Everything Claude Code 详细使用文档 配置Jackson使用字段而不是getter/setter来序列化和反序列化 这个域名注册整整十年了,十年时间,真快啊 Claude Code全维度实战指南:从入门到精通,解锁AI编程新范式 Apollo配置中心中的protalDB的作用是什么 org.apache.ibatis.plugin.Interceptor类详细介绍及使用 岁末 Excel2016右键新建工作表,打开时提示“因为文件格式或文件扩展名无效。请确定文件未损坏,并且文件扩展名与文件的格式匹配。”的解决办法 wordpress增加说说功能 Java 为什么有这么多 “O”? 别再背线程池的七大参数了,现在面试官都这么问 2024年11月1号 农历十月初一 我的第一个WordPress插件:Dylan Custom Plugin上线了 推荐一款比较养眼的Xshell配色方案 hnswlib installation failed 开工啦~ 阳了... MybatisCodeHelperPro激活 @Async注解的坑 新买的笔记本发货啦…… 这个中秋节感觉过的好累啊 IDEA下载源码报:Cannot connect to the Maven process. Try again later. RocketMQ的push消费方式实现详解 看病难~取药难~~ 笑死、腹肌……根本不可能有腹肌的~~ 居家办公了~ C# 11 的这个新特性,我愿称之最强! IntelliJ IDEA 2020.3.x永久白嫖(Windows/Mac) IDEA无限试用方法【2020.3最新亲测有效】 SpringBoot使用注解的方式构建Elasticsearch查询语句,实现多条件的复杂查询 UUID太长怎么办?快来试试NanoId 忽然发现,在校大学生可以免费领一年有道云笔记会员~ 醒醒~补个税了 使用itext和freemarker来根据Html模板生成PDF文件,加水印、印章 来来来,用python画一个冰墩墩儿 SpringBoot整合GraphQL入门教程 办理居住证困难重重啊! 妈呀,昨天晚上睡觉做了一晚上的梦,可累死我了 感觉Typecho很简洁啊…… WordPress的自动更新好烦啊 BeanCopier工具类(性能优化工具类) 内存屏障浅析 居住证可算是申请通过了…… 试了下壁挂炉供暖 关于重阳节 居住证签注... Spring Boot 2.x使用PostgreSQL数据库 十一节后开工头一天,修了个耳机…… 玉楼春·尊前拟把归期说 nginx反向代理配置去除前缀 1931→2021! Navicat Premium数据库账号密码解密 百度的索引量数据现在有点儿太夸张了吧? 哇塞~这个小姐姐实在太惊艳了…… 关于8月29号下午博客故障的一些记录 如何形象的描述反应式编程中的背压(Backpressure)机制? 基于Java8的Either类 海琴烟~~~ JMX监控权限认证配置 IntelliJ IDEA 2019.3.3 永久激活 破解[Windows] SpringBoot整合Elasticsearch详细步骤以及代码示例(附源码) SpringBoot整合Elasticsearch游标查询(scroll) GitLab创建新项目,初次提交命令和流程 吐槽下Google浏览器~ 从零搭建Spring Cloud Gateway网关(一) 从零搭建Spring Cloud Gateway网关(二)—— 打印请求响应日志 博客有logo啦 你的答案 数据库事务的一点简单总结 Spring Boot发展史(Spring Boot介绍) 【漫画】戏说外行对程序员的误会有多深 【收藏】从面试官角度观察到的程序员技能瓶颈,同时给出突破瓶颈的建议 Git中.gitignore文件不起作用的解决办法 背影 - 朱自清 jmap命令(jdk1.8) 彻底搞懂mysql日志系统binlog,redolog,undolog 出院了~~~ linux中ftp查看不到文件列表的问题 PHP版本怎么更新啊…… 成语接龙 StarUML4.0破解文件 Java SPI详解 WordPress评论框增加自定义表情 因在公司上不正经网站,我没过试用期… 优化了MYSQL大量写入问题,老板奖励了1000块给我 不慌不忙的坚强(林徽因39段最美文字!) ConcurrentHashMap常用方法源码解析(jdk1.8) 我是如何失去团队掌控的? HBASE填坑日志 关闭apache httpclient4.5 DEBUG日志 使用OpenShift搭建k8s集群 SonarQube Scanner的配置与使用简介
为什么说不可信的Wi-Fi不要随便连接?
李锋镝 · 2025-09-19 · via 李锋镝的博客

连接不可信的Wi-Fi(如无密码的公共热点、名称模糊的“免费Wi-Fi”等)存在多重安全风险,本质是这类网络缺乏可靠的身份验证、数据加密和安全管控,导致设备、数据甚至个人信息暴露在攻击者的可控范围内。具体风险可从以下6个核心维度展开:

一、数据传输“裸奔”:密码、隐私直接泄露

正常的可信Wi-Fi(如家庭Wi-Fi、企业加密Wi-Fi)会通过 WPA2/WPA3 协议对数据进行加密,确保设备与路由器之间的传输内容无法被轻易破解。但不可信Wi-Fi往往存在两种致命问题:

  1. 无加密或弱加密:部分免费热点直接关闭加密(如早期的WEP协议,已被证明可轻松破解),此时设备发送的所有数据(包括微信聊天、网页浏览记录、APP登录密码、银行卡支付信息等)会以“明文”形式在空气中传输,攻击者只需用简单工具(如Wireshark)就能实时抓取并解析这些数据。
    • 例如:在无加密Wi-Fi上登录某购物APP,输入的账号密码可能被直接截获,导致账号被盗。
  2. 伪造“加密假象”:有些攻击者会搭建名称类似正规热点的Wi-Fi(如将“星巴克Wi-Fi”伪装成“Starbucks-Free”),并启用低安全性加密,诱导用户连接后通过破解加密获取数据。

二、“钓鱼Wi-Fi”:直接劫持设备与账号

不可信Wi-Fi可能是攻击者精心搭建的“钓鱼热点”,其核心目的是通过技术手段劫持用户设备或账号,常见手段包括:

  • DNS劫持:攻击者控制Wi-Fi的DNS服务器(域名解析服务器),将用户访问的正规网站(如“淘宝.com”“银行官网”)指向自己搭建的伪造网站。用户输入账号密码时,信息会直接发送给攻击者,而非真实平台。
    • 典型场景:连接“商场免费Wi-Fi”后,打开某银行APP提示“登录异常需重新验证”,跳转的页面看似正规,实则是钓鱼页面,输入的银行卡号、验证码会被窃取。
  • 会话劫持:通过抓取用户与网站的会话Cookie(用于保持登录状态的凭证),攻击者可直接“接管”用户已登录的账号(如微信、微博、云盘),无需输入密码就能操作账号内的内容。

三、设备被植入恶意程序:长期控制与窃密

连接不可信Wi-Fi后,攻击者可能利用网络漏洞(如设备系统漏洞、APP安全缺陷)向设备植入恶意程序(木马、间谍软件等),实现长期控制:

  1. 主动攻击:若设备未及时更新系统(如安卓旧版本、iOS未修复的漏洞),攻击者可通过Wi-Fi向设备推送恶意代码,植入后能实时监控设备操作(如记录键盘输入、拍摄屏幕、开启麦克风/摄像头)。
  2. 诱导下载:通过弹出“Wi-Fi连接需安装安全插件”“免费影视APP”等弹窗,诱导用户下载含恶意程序的安装包,一旦安装,设备就会被远程控制。

四、“中间人攻击”:篡改或拦截关键操作

不可信Wi-Fi的网络拓扑完全由攻击者控制,用户设备与互联网之间的所有数据传输都需经过攻击者的“中转”,即典型的 “中间人攻击(MITM)”

  • 攻击者可篡改传输内容:例如用户在网上下单付款时,将收款账户修改为自己的账户;或在用户发送文件时,替换为含病毒的文件。
  • 攻击者可拦截关键指令:例如拦截手机接收的短信验证码(用于账号登录、支付验证),进而完成“短信轰炸+验证码窃取”,最终盗用账号。

五、局域网内攻击:直接入侵同网络设备

Wi-Fi本质是一个局域网,若连接的是不可信热点,攻击者的设备与用户设备处于“同一局域网”内,可利用局域网漏洞直接攻击用户设备:

  • 访问共享文件:若用户设备开启了“文件共享”功能(如Windows的局域网共享、手机的USB共享),攻击者可直接读取设备内的照片、文档、通讯录等隐私文件。
  • 远程控制设备:通过局域网内的漏洞(如远程桌面未关闭、弱密码),攻击者可直接远程登录用户的电脑或手机,获取设备的完全控制权。

六、消耗流量或推送垃圾信息:隐性损失

除了直接的安全风险,部分不可信Wi-Fi还存在“隐性危害”:

  • “偷跑流量”:有些恶意热点会在用户连接后,自动在后台下载大文件、发送垃圾数据,导致用户的手机流量被大量消耗(尤其使用手机热点共享时)。
  • 强制推送广告:攻击者可通过Wi-Fi劫持浏览器,强制弹出垃圾广告、赌博网站链接,影响使用体验,甚至诱导用户点击恶意链接。

总结:核心逻辑是“失去安全边界”

可信Wi-Fi的核心价值是“建立安全边界”——通过加密、身份验证确保网络可控;而不可信Wi-Fi的本质是“无安全边界”,用户的设备和数据相当于直接暴露在攻击者的“监控范围”内,所有基于网络的操作都可能被窃取、篡改或攻击。因此,除非确认Wi-Fi的来源(如官方场所提供的、需验证身份的热点),否则不要随意连接未知Wi-Fi;若必须使用,需开启手机的“VPN”加密数据传输,并避免进行登录、支付等敏感操作。

除非注明,否则均为李锋镝的博客原创文章,转载必须以链接形式标明本文链接

本文链接:https://www.lifengdi.com/wang-luo/4506