沃通SSL证书
康卡斯特的Xfinity Wi-Fi泄露客户姓名地址
2015-12-02
美国康卡斯特公司(Comcast)表示,Xfinity无线网络连接覆盖了全国1100万热点的范围,包括住宅的具体地点。康卡斯特公司透露Xfinity的Wi-Fi服务泄露了居民用户的姓名以及家庭住址,公司自己也说这是不该发生的。
这些信息的泄露使得攻击的对象变得唾手可得,这相当于任何人都可以恶意的来选择攻击自己的目标。
自从康卡斯特推出Xfinity Wi-Fi服务只有短短的两年多,该公司为现有的客户和公众创造了独立的家庭和企业的无线网络。这个等同于“xfinitywifi”的无线网络的SSID本应该为提高客户的可用性而拓宽Wi-Fi接入,并且该网络的使用也同时作为一种安全保护措施,因为使用Xfinity Wi-Fi的功能的客户可以让外来访问者使用guest虚拟机网络,从而使主Wi-Fi密码通过SSL证书保密。
当该服务启动之后,这就出现了两个问题——物理安全和问责制。
物理安全问题之所以存在是因为客户不希望自己的名字和家庭地址出现在Xfinity无线网络的公共搜索结果中。康卡斯特公司对媒体和公众的进行了问题解答来告诉客户不需害怕,只有商业信息才会被共享出来——客户的姓名和家庭地址将不会被公布。
但问题是,姓名和地址已被列出,而人为的Xfinity Wi-Fi热点搜索仍然可以使这些显示在搜索结果中。
下面的合成图像显示了使用Xfinity Wi-Fi的客户住宅。它们都在同一城镇,状态相同,并且根据公共记录搜索显示没有被登记为企业。请注意:此图片经过Salted哈希处理以消除其姓氏、地址和地图标记等可能确定位置的信息。
显然,这是康卡斯特公司的错误,当被问及信息泄露事件时,康卡斯特的客户代表通过电子邮件解释说:“我可以证实,我们只包括户外/公共/商圈热点地区小企业的Wi-Fi热点的位置和地址。”
同样地,客户信息也可以通过Xfinity无线网络连接的网站以及由康卡斯特公司提供的APP获取。姓名和地址的泄露的似乎不是什么大不了的事,因为这都是公共信息。然而,这是康卡斯特公司明确规定不应该被共享的数据。
手持比笔记本还小的装有Xfinity APP的设备就能实行犯罪,在几分钟之内就能有选择的获取目标的个人信息。一个人的全名和地址,以及城市和国家,可以用来获取按揭文件,也会暴露银行信息。有了这些信息的结合,犯罪可以制定有针对性的钓鱼来获利。更糟的是,他们可以利用这些信息来建立一个新的ID以受害者的名字贷款。使用Xfinity Wi-Fi服务上网的用户担心犯罪分子会利用其共享的无线接入犯罪。
该公司在一份对Salted哈希的声明中说,每个用户必须使用邮件地址登录,设备的MAC地址也会被记录。另外,还有Xfinity Wi-Fi使用的两个IP地址,一个是房主,一个是热点(guest帐户)。因此,公司能知道谁在做什么,客户可以放心,因为犯罪不能实现。
只是,这不完全正确。
康卡斯特公司表示,所有客户使用绑定到账户及他们的设备的MAC地址。对于那些使用Xfinity Wi-Fi的guest访问的非客户,则凭借他们的电子邮件帐户以及注册设备的MAC地址。
使用K Logix的布鲁克林高级安全架构师Ken Smith,发现该公司依靠设备的MAC地址作为认证的一个重要组成部分。他同时挖到了一些其他内幕。
Smith说Wireshark捕获和无线日志显示了当设备第一次连接时,康卡斯特存储用户MAC地址的数据库。
一旦初始注册和登录完成,下一次用户就在附近的“xfinitywifi”热点,这会自动连接有口令的接入点,并检查确认在设备的MAC地址是否匹配先前存储在数据库中的一项。如果出现这种情况,则允许访问。 公司的文档与史密斯的调查结果一致。
自动连接通常是一种处理Wi-Fi接入的糟糕的方式,但它也是最为常用的形式。这并不是一个新问题,安全专家已经警告不要相信自动连接热点了很多年。
2014年,Greg Foss在LogRhythm讨论了Xfinity Wi-Fi自动连接的问题(discussed the issue of Xfinity Wi-Fi auto-association),以及犯罪分子如何模仿 “xfinitywifi”SSID诱骗客户交出自己的用户名和密码。拥有康卡斯特的合法用户名和密码就可以利用验证过程中Xfinity Wi-Fi热点,因为如果MAC地址不匹配,可以进行身份验证并用窃取的信息注册一个新的实施犯罪。Foss写了一些脚本,使用Hak5的WiFi Pineapple模拟康卡斯特的登录页面。这些脚本后来从官方站点删除了,但他们仍然免费提供给任何人。
另一种方法是利用验证过程扫描无线通信附近的一个Xfinity Wi-Fi热点,并记下所使用的网络的MAC地址。这样,罪犯可能伪造MAC地址并使用之前验证者过的自动连接。在某些情况下,罪犯可以通过假冒房主的MAC地址来实施钓鱼。
康卡斯特最近已经采取了一些措施来保护Xfinity Wi-Fi服务,但他们的努力实际上已经引发了一个新的问题。 苹果和Android用户可以下载Xfinity Wi-Fi新的安全APP(不适用于Windows用户)将创建安全的个人资料并保护他们的无线网络会话。
然而,研究人员Ken Smith发现了在设备上开发安全信息文件的过程会下载一个文件(XFINITY.mobileconfig)这包含Xfinity无线网络的登录名(通常是user@comcast.net)和明文的密码。
康卡斯特公司鼓励客户启用Xfinity Wi-Fi热点服务。他们的支持页解释了其中的塬因:“我们鼓励你保持你的XFINITY的WiFi热点功能的启用,因为它可以让更多的人享受到XFINITY无线网络的好处,你将不再需要提供你的私人XFINITY无线家庭网络的密码给客人。”
再一次,他们暗示这项服务具有安全优势。这只不过是服务中客户暴露了自己的姓名和家庭住址,这是可以依靠技术控制用一点时间和少量的努力来消除造成的风险的。
网上有关于如何禁用Xfinity无线网络连接的指导(how to disable Xfinity Wi-Fi)。
