Завантажити
Назад до блогу
Конфіденційність··10 хв читання

Небезпека публічного Wi-Fi (навіть із HTTPS усюди)

Мова: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeTiếng Việt简体中文繁體中文

Кілька років тому порада щодо користування мережею в кав’ярні була простою й похмурою: припускайте, що хтось читає ваш трафік. Потім HTTPS став типовим майже всюди, браузери почали голосно попереджати про сайти з відкритим текстом, і чимало людей тихо перестали непокоїтися.

Саме друга частина — це проблема. Небезпека публічного Wi-Fi не зникла, коли переміг HTTPS — вона змістилася. Пасивний підслуховувач, який колись виловлював ваш пароль до Gmail просто з ефіру, здебільшого втратив сенс. Те, що лишилося, цікавіше, цілеспрямованіше й помітити його важче, бо значок замка робить усе на вигляд нормальним.

Ця стаття розбирає, що HTTPS насправді виправив, чого не виправив, і кілька звичок, які відчутно змінюють вашу вразливість у мережах, що вам не належать.

Що насправді вирішив HTTPS

Віддамо належне. HTTPS — зашифрована версія вебпротоколу — таки виправив найбільшу й найпримітивнішу версію проблеми публічного Wi-Fi.

У 2014 році хтось у тій самій мережі аеропорту, що й ви, міг запустити безкоштовний інструмент, поспостерігати, як ваш браузер завантажує Facebook, і піти з вашим файлом cookie сеансу. Цей клас атак здебільшого помер. Поєднання HTTPS за замовчуванням, HSTS (прапорця, що каже браузерам «ніколи більше не завантажуй цей сайт через звичайний HTTP») і суворіших правил щодо cookie означає, що випадкове пасивне прослуховування основних сайтів дає небагато.

Якщо ваша модель загроз — «я не хочу, щоб знуджений підліток за три столики читав мою пошту», HTTPS вас туди довів.

Модель загроз на щабель вище — ось де стає чесніше.

Що HTTPS не охоплює

HTTPS шифрує вміст вашого з’єднання з конкретним сервером. Він не захищає кроки до встановлення цього з’єднання й не захищає вас від самих себе, коли щось має трохи дивний вигляд. Ось де небезпека публічного Wi-Fi досі живе.

Ін’єкція через захоплений портал

Сторінка «погодьтеся з нашими умовами», що зринає в Wi-Fi готелів та аеропортів, називається захопленим порталом. Щоб він працював, мережа має перехопити ваш перший вебзапит і перенаправити його туди, куди обере сама. Це «людина посередині» за задумом. Санкціонована, але все одно «людина посередині».

Добре налаштований захоплений портал нешкідливий. Погано налаштований (чи навмисно ворожий) може підсунути вам JavaScript, нав’язати фальшиві оновлення програм або тихо профілювати кожен пристрій, що приєднується. Ваш телефон часто показує портал у спрощеному браузері без повного рядка адреси, що ускладнює розуміння того, на що ви насправді дивитеся.

Перехоплення DNS на слабких резолверах

Коли ви вводите bank.com, ваш пристрій запитує DNS-резолвер мережі: «яка IP-адреса для цього?» У публічній мережі цей резолвер обслуговує той, кому належить точка доступу.

Неправильно налаштований або шкідливий резолвер може збрехати. Він може відправити вас на сервер, що не є вашим банком, а потім подати власний сертифікат. Сучасні браузери попередять вас — але лише якщо сертифікат неправильний, і лише якщо ви прочитаєте попередження, а не клацнете повз нього.

SSL-stripping на погано налаштованих сайтах

SSL-stripping — старий трюк, який досі працює у вузьких випадках. Зловмисник сидить між вами й сайтом, до якого ви намагаєтеся дістатися. Ви вводите example.com (без префікса https://), мережа перехоплює це, сама отримує справжню HTTPS-сторінку й подає вам просту HTTP-копію.

Сайти, що використовують попереднє завантаження HSTS, до цього імунні. Сайти, що ні (зазвичай менші сервіси, внутрішні інструменти чи будь-що, куди ви потрапляєте через стару закладку), — ні. Рядок адреси тихо покаже http:// замість значка замка, а більшість людей не дивиться.

Фальшиві точки доступу та Evil Twin

Ось те, що варто зрозуміти як слід, бо воно обходить більшість захистів вище.

Ваш телефон запам’ятовує мережі. Коли він бачить маячок (невеликий широкомовний пакет, що оголошує назву Wi-Fi), який збігається з тим, до якого він приєднувався раніше, він може підключитися автоматично. Зловмисник зі звичайним обладнанням може транслювати маячок, що нібито є Starbucks WiFi чи Hotel Guest, надіслати кадр деаутентифікації, щоб скинути ваш телефон зі справжньої мережі, і спостерігати, як ваш пристрій перестрибує на їхню, а ви до нічого не торкаєтеся.

Звідти зловмисник і є мережею. Вони контролюють DNS. Вони керують захопленим порталом. Вони бачать, які застосунки на вашому пристрої намагаються дістатися до яких серверів, навіть якщо вміст зашифрований. Вони можуть подавати власні сторінки захопленого порталу, пробувати SSL-stripping на всьому, що не має попереднього завантаження, і запитувати облікові дані всередині того, що має вигляд звичайного входу.

Технічна назва — «evil twin», а тиха частина в тому, що ніщо не попереджає вас, що це відбувається. Ваш телефон просто показує звичний значок Wi-Fi.

Призвичаєння до попереджень про сертифікат

Браузери навчилися добре попереджати. Користувачі навчилися добре їх ігнорувати.

Коли ви бачите попередження про сертифікат на весь екран із червоним, це майже завжди означає, що зі з’єднанням щось не так. Іноді безпечно (прострочений сертифікат), іноді ні (активна «людина посередині»). Вихід — не клацати повз. На практиці люди за роки погано налаштованих корпоративних мереж привчилися тиснути кнопку «все одно продовжити», не читаючи.

У мережі кав’ярні ця кнопка може бути цілою атакою.

Як насправді працює атака Evil-Twin

Якщо ви хочете одну змістовну картину того, як це все складається докупи, атака evil-twin — найчистіший приклад.

Зловмисник приносить ноутбук чи невеликий портативний пристрій до кав’ярні. Він запускає програму, що по черзі робить три речі.

Спершу вона сканує ефір у пошуках сусідніх мереж Wi-Fi і занотовує назву (SSID) справжньої. Скажімо, це Cafe Guest. Потім вона починає транслювати власні кадри маячків із тією самою назвою, часто на вищій потужності, щоб пристрої віддавали їй перевагу.

По-друге, вона надсилає кадри деаутентифікації клієнтам, уже підключеним до справжньої мережі. Кадри deauth — звичайна частина того, як працює Wi-Fi — вони кажуть пристрою «вас від’єднано, будь ласка, приєднайтеся знову». У більшості мереж вони неавтентифіковані, тобто будь-хто може їх надсилати. Телефони у справжній мережі скидаються й шукають, де перепідключитися.

По-третє, зловмисник подає захоплений портал. Він може запитати електронну пошту й пароль «для доступу до безкоштовного Wi-Fi». Він може імітувати сторінку входу готелю. Він може просто мовчки вас пропустити, спрямувати ваш трафік через власне з’єднання й усе журналювати. З погляду вашого телефона ви онлайн. З погляду зловмисника вони тепер ваш інтернет-провайдер.

Захист — не в читанні заголовків пакетів. Він у тому, щоб зробити атаку нецікавою — не приєднуючись автоматично до невідомих мереж, спрямовуючи чутливий трафік через те, у що локальна мережа не може зазирнути, і не вводячи облікові дані на сторінках, до яких ви не перейшли навмисно.

Чи безпечний публічний Wi-Fi у 2026 році?

Чесна відповідь: достатньо безпечний для більшості речей, недостатньо безпечний для всього.

Читати новини, шукати рецепт, гортати соцмережі — нормально. Ціна помилки з таким трафіком низька, а захисти в сучасних браузерах реальні.

Вхід у банк, доступ до робочої адмінпанелі, підтвердження банківського переказу чи вхід до нового сервісу, який надсилає вам код відновлення SMS-кою — це моменти вищої цінності, де різниця між «напевно нормально» й «точно нормально» має значення. Дешева відповідь, як закрити цей розрив, — не робити цього в мережах, які ви не контролюєте.

П’ять практичних кроків

Жоден із них не вимагає думати про кадри пакетів. Це звички.

  1. Вимкніть автоприєднання до невідомих мереж.На iPhone це в Параметри → Wi-Fi → Auto-Join Hotspot, а для окремої мережі — у Wi-Fi → (назва мережі) → Auto-Join. Сенс у тому, щоб ваш пристрій питав вас, перш ніж приєднатися до чогось зі знайомою назвою. Щодо пов’язаних кроків дивіться наш покроковий посібник із налаштування VPN на iPhone.
  2. Коли можливо, віддавайте перевагу стільниковому зв’язку чи власній точці доступу. З’єднання 5G не ідеально приватне, але має єдиного, відповідального оператора, і немає простого способу для стороннього вклинитися в його середину. Для будь-чого чутливого в подорожі точка доступу вашого телефона зазвичай краща відповідь, ніж мережа готелю.
  3. Використовуйте VPN для моментів, що мають значення. VPN, скорочення від virtual private network, спрямовує ваш трафік через зашифрований тунель до сервера, якому ви довіряєте, тож локальна мережа бачить лише це одне з’єднання й нічого про те, куди воно йде. Це нейтралізує більшість категорій вище: захоплений портал ще може вас діймати, але він не може бачити ваші DNS-запити, не може робити SSL-stripping на сайтах, які ви відвідуєте, і не може профілювати, якими застосунками ви користуєтеся. Якщо це для вас нове, наш вступ про те, що таке VPN насправді охоплює основи, а наш посібник із VPN у дорозі заглиблюється в деталі. Snap — один з варіантів, збудований навколо такого підходу, але ширша звичка важливіша за бренд.
  4. Ніколи не клацайте повз попередження про сертифікат у публічних мережах. Якщо ви бачите попередження браузера про сертифікат на весь екран, закрийте вкладку. У домашній мережі це майже завжди погано налаштований сайт; у Wi-Fi кав’ярні це може бути хтось, хто активно посередині. Ціна помилки достатньо висока, щоб «спробувати пізніше» було правильним вибором за замовчуванням.
  5. Залиште чутливі входи й транзакції для довірених мереж. Банкінг, скидання паролів, будь-що, пов’язане з кодом відновлення чи двофакторним процесом — заради цього варто витерпіти невеличку незручність очікування, доки повернетеся на стільниковий зв’язок чи домашній Wi-Fi. Виграш у зручності від виконання цього в аеропорту не вартий асиметрії того, що може піти не так.

Що VPN виправляє, а що ні

Навколо цього багато галасу, тож варто бути конкретними.

VPN таки виправляє:

  • Здатність локальної мережі бачити ваші DNS-запити
  • SSL-stripping (ваш трафік не проходить ворожу мережу у відкритому вигляді)
  • Профілювання захопленим порталом після того, як ви його пройшли
  • Здатність фальшивої точки доступу дізнатися щось корисне про вашу активність

VPN не виправляє:

  • Попередження про сертифікат, повз яке ви все одно клацаєте
  • Фішингові сторінки, на які ви активно входите
  • Шкідливе ПЗ, що вже на вашому пристрої
  • Той факт, що сайти, які ви відвідуєте, досі можуть ідентифікувати вас через облікові записи й файли cookie

Це гострий інструмент для одного конкретного класу небезпек публічного Wi-Fi. Це не чарівний щит, і продукти, що продають його як такий, перебільшують його можливості. Наш огляд поширених міфів про VPN детальніше розглядає розрив між маркетингом і реальністю.

Підсумок

HTTPS вирішив легку версію проблеми. Складніша версія, шар під з’єднанням, де живуть DNS, захоплені портали й фальшиві точки доступу, здебільшого невидимий, доки щось не піде не так.

Вам не потрібно ставати мережевим інженером, щоб бути розсудливими щодо цього. Вимкніть автоприєднання, будьте скептичними до захоплених порталів, не клацайте повз попередження про сертифікат і користуйтеся стільниковим зв’язком чи VPN, коли ставки реальні.

Якщо ви хочете, щоб частина з VPN була охайно вирішена на iOS — без електронної пошти при реєстрації, без журналів трафіку, з оплатою підписки тихо через ваш Apple ID — Snap збудований саме навколо такого підходу. macOS на підході. У будь-якому разі найважливіше не те, який застосунок ви встановите; а те, щоб ви перестали ставитися до мережі кав’ярні так, ніби вона ваша власна.

The Snap VPN Team
Editorial