Bezpečnostní novinky

Experiment poukázal na znepokojivou situaci ohledně bezpečnosti veřejných Wi-Fi sítí

Ondrej Vlcek, 15. ledna 2015

Pomocí nenápadného zařízení se nám během chvilky podařilo zjistit celou řadu citlivých a osobních informací o návštěvnících kavárny, aniž by cokoliv tušili.

Možná jste si vždy mysleli, že když jste připojeni k veřejné Wi-Fi síti a zrovna si vychutnáváte šálek kávy ve vaší oblíbené kavárně nebo si dáváte rychlý oběd v nedaleké restauraci, vaše emaily, přihlašovací údaje, čísla kreditních karet, obrázky a výsledky vyhledávání na internetu zůstávají pro ostatní neviditelné, jsou v bezpečí a nikdo nemůže proniknout do vašeho soukromí. Na jednoduchém experimentu vám nyní dokážeme pravý opak! Získání právě takových osobních informací je vcelku jednoduchou záležitostí, a to zejména pokud využíváte internet na veřejných místech.


Lidé se během připojování k veřejné Wi-Fi vystavují riziku

Pomocí malého, nenápadného zařízení a antény schované v batohu se nám během několika minut strávených v rušné kavárně v centru Prahy podařilo zjistit celou řadu citlivých a velmi osobních informací o návštěvnících kavárny, aniž by oni cokoliv tušili. Mezi jinými šlo například o konkrétní typ zařízení a operační systém, naposledy navštívené webové stránky, emailovou komunikaci nebo dokonce osobní informace vyplněné do různých webových formulářů. Informace, které jsme získali, byly pořízeny pouze pro studijní účely. Není ale těžké představit si, jak by s nimi mohl naložit případný útočník.

Během krátké chvilky jsme dokázali o lidech v kavárně zjistit:

  • Obsah desítek emailů,
  • Osobní informace jako např. uživatelské ID,
  • Mobilního operátora, jazyk a lokaci,
  • Výrobce a fyzickou (MAC) adresu zařízení,
  • Přihlašovací cookies k různým službám,
  • Instalované pluginy,
  • Aktivity na sociálních sítích jako jsou lajky atd.,
  • Stovky klíčových slov ve vyhledávání,
  • Desítky navštívených stránek.

Z námi provedeného experimentu tak plyne jasný závěr: pokud se rozhodnete připojit k veřejné, nechráněné a bezplatné Wi-Fi síti, vystavujete se vysokému riziku, že vaše soukromé údaje, informace a komunikace mohou být zneužity hackery a jinými útočníky, a to za účelem sledování, vydírání nebo dokonce odcizení vaší identity. Tedy, pokud se proti těmto věcem sami nechráníte.

Pozor na nezabezpečené HTTP stránky

Přestože je v dnešní době většina webových stránek přesměrována na zabezpečený HTTPS protokol, stále existuje mnoho dalších, které běží na nešifrovaném HTTP protokolu. A právě tyto stránky jsou těmi nejnebezpečnějšími. Podle nedávné studie společnosti Sandvine až 70 % všech přenesených dat na webu jde přes nezabezpečený HTTP protokol. To v praxi znamená, že na takových stránkách vystavujete všechny informace o sobě volně k přečtení a hacker se může snadno dostat k vašim heslům, historii vašeho chování na webu nebo k obsahu vaší internetové komunikace s přáteli.

Během pouhé půl hodiny se k našemu fiktivně vytvořenému Wi-Fi hotspotu, nazvanému „Nejrychlejší FREE wifi“, připojilo cizích 11 lidí. Kromě HTTPS protokolu nikdo z nich nepoužíval žádné bezpečnostní řešení na ochranu svých dat. A jak se ukázalo, ani HTTPS protokol není 100% bezpečný, zejm. pokud se jedná o jeho starší verze. Navíc drtivá většina uživatelů prokol HTTPS explicitně do prohlížeče při zadávaní adresy nepíše, a prohlížeč tedy přednostně použije nezabezpečenou HTTP variantu, kterou může útočník jednoduše podvrhnout.

Obecně platí, že nejvíce citlivých informací uniká přes různé skripty určené pro webovou analytiku, případně přes reklamy, které často posílají nasbírané informace přímo v nešifrované podobě. Pro zkušenějšího útočníka je pak už jen otázkou pár okamžiků získat přihlašovací cookies a s její pomocí se jednoduše vydávat za oprávněného uživatele a přinejmenším dočasně získat nad jeho účtem kontrolu.

Chraňte se pomocí VPN

Abyste se tomuto riziku vyhnuli, doporučujeme během surfování na veřejných Wi-Fi sítích na svých zařízeních používat VPN. VPN neboli virtuální privátní síť zajistí, aby vaše veškerá komunikace zůstala šifrovaná, vaše internetové vyhledávání bylo anonymní a vaše přihlašovací údaje, emaily, chatovací zprávy, údaje o kreditních kartách zůstaly pro útočníky vždy neviditelnými. Avast pro PC, Android a iOS nabízí řešení v podobě produktu SecureLine VPN, který ochrání vaše soukromí a identitu a vy můžete zůstat v bezpečí i na veřejných sítích.

Sledujte i nadále náš blog, brzy o provedeném experimentu*, který proběhl ve spolupráci s tabletovým magazínem Dotyk, odhalíme více informací.

[Pokračování: Věděli jste, že každý může sledovat vaši aktivitu na internetu?]

* Experiment byl založen na pasivním sledováním nezabezpečené sítě. To znamená, že jsme nijak neměnili ani nedešifrovali uživatelská data. Opravdoví útočníci by však mohli použít nástroje a triky pro dešifrování všech přenášených dat nebo například nahradit reálné stránky za falešné, a tím se do osobních informací nabourat.