公共Wi-Fi有「四不知」
Wi-Fi已成為今時今日不可或缺的工具。香港特區智慧城市藍圖標榜Wi-Fi熱點達44,600個,本地商戶亦非常樂意向客戶提供熱點,在市區基本上可以完全使用Wi-Fi取代流動電話網絡。使用公共Wi-Fi就有安全風險,基本守則的基本亦人人皆知,例如不要在公共Wi-Fi進行任何資訊敏感活動,不要開啟自動登入,確保連線加密,利用VPN等等。但問題是即使你做足上述安全措施,是否就有足夠安全保障?而答案是否定的。使用公共Wi-Fi有「四不知」,即無法得知供應商的真實身份,供應商怎樣處理你的資訊,對方路由器是否安全,同時使用這個Wi-Fi網絡甚麼人。當你掃描Wi-Fi時,只會看到Wi-Fi 的SSID及MAC,並無任何認證,這些資料可以被輕易複製,然後騙取你的連線。供應商極可能記錄你所有活動包括你裝置的MAC,若果同一供應商有一定市佔率,又或是政府提供,就可利用MAC記錄裝置行蹤。路由器不安全,就可能令連線資料洩漏,或出現中間人監控或竊取資料。使用同一Wi-Fi網絡的可能有黑客,若你沒有採取適當保護行動,對方就可發現你的裝置,得知裝置品牌甚至型號,然後進行針對性攻擊。VPN可提供部份保護,但並不足以應對上述風險。
使用VPN並不足夠
使用公眾Wi-Fi同時要保護裝置安全及私隱,需要採取更高級別的手法。這裏介紹五招應對風險。其一,大部份新款裝置及路由器支援隨機MAC,使用隨機MAC大幅減少被追蹤的風險,請確保功能開啟。請留意某些裝置即使開啟隨機MAC,但連上同一Wi-Fi可能使用相同的MAC,建議查一查裝置是否支援每次連線皆使用隨機MAC。例如Android手機要在啟動開發者模式後才可找到相關功能。其二,大部份VPN都有提供「在區域網內隱藏身份」的功能,你應開啟這個功能。好處是同一個區域網的使用者無法發現你的裝置,看不見自然難於攻擊。但亦要留意開啓該功能後無法使用區域網內的共享裝置,例如印表機。若果你使用VPN,你必須同時留意部份VPN只支援IPv4,使用IPv6的網站可能繞過VPN令資料洩漏,建議在作業系統設定只接受IPv4。讀者可在網上查找設定方法。IPv6推出多年依然存在私隱漏洞,包括MAC洩漏的問題,筆者將另文詳細分析。其三,當你連上任何Wi-Fi後,裝置便記錄連線資料。當使用完畢後請將記錄移除,一來免得無顧自動登入,二來這個紀錄變相就是位置紀錄,屬於私隱,你不刪除,資料就有機會經過其他途徑,例如透過你安裝擁有各種Wi-Fi權限的軟件,就有機會落入他人之手。
旅行路由器強化安全
其四,使用一個便攜式Wi-Fi旅行路由器。先將路由器連上公眾Wi-Fi,然後將路由器變成Wi-Fi熱點。這配置有多個好處。你使用的其它裝置永遠是連上自備路由器,便不用更改或額外設定,而且所有裝置皆在路由器之後,網絡管理者及其他使用者只能發現路由器而不能見到你的其它裝置,路由器還提供了多一層的防火牆保護,可大幅減低裝置被攻擊的風險。有時公共Wi-Fi可能只容許顧客使用一個裝置,利用路由器登入就可讓你多個裝置同時上網。筆者選擇使用開源系統的旅行路由器,且支援USB-C移動電源供電,提供移動便利。該旅行路由器支援將VPN直接安裝於路由器上,安裝工序簡單,而且可以設定禁止所有未經VPN的傳輸,這樣可以確保所有連上路由器的裝置,即使沒有VPN亦可享其保密功能。若果公共Wi-Fi要先經登入畫面才能使用,路由器VPN未能連上伺服器便會阻截登入畫面,這時可先利用一個「乾淨電話」登入,然後利用路由器的MAC Clone功能,將「乾淨電話」的MAC複製至路由器便可。正如上述,路由器應設定只接受IPv4。請將路由器名稱更改,任何可識別路由器品牌或型號的預設名稱會增加被攻擊的風險。若果你家中的路由器是互聯網供應商提供,且你對安全標準有懷疑,可利用同一招式,多加一個可信的Wi-Fi路由器,將所有裝置連上自備的路由器,以策安全。
極權、不法份子、不良企業都希望獲得你的一切資訊,任何共用的資訊科技都是他們的舞台。大眾必須提升相關安全知識,採取實際行動,才不至被欺壓及剝削。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
