Tải về
Quay lại blog
Quyền riêng tư··10 phút đọc

Rủi ro Wi-Fi công cộng (Dù HTTPS đã có mặt khắp nơi)

Ngôn ngữ: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнська简体中文繁體中文

Vài năm trước, lời khuyên khi dùng mạng ở quán cà phê rất đơn giản và đáng lo: hãy coi như ai đó đang đọc traffic của bạn. Rồi HTTPS trở thành mặc định ở hầu hết mọi nơi, trình duyệt bắt đầu cảnh báo về các trang dùng plaintext, và nhiều người lặng lẽ ngừng lo lắng.

Chính phần thứ hai đó mới là vấn đề. Rủi ro Wi-Fi công cộng không biến mất khi HTTPS thắng thế — chúng chuyển dịch. Kẻ nghe lén thụ động từng có thể đánh cắp mật khẩu Gmail của bạn qua sóng không khí phần lớn đã "bị đẩy ra khỏi cuộc chơi". Những gì còn lại thú vị hơn, có chủ đích hơn, và khó nhận ra hơn vì biểu tượng khóa trên trình duyệt khiến mọi thứ trông có vẻ ổn.

Bài viết này đi qua những gì HTTPS thực sự đã khắc phục, những gì nó không làm được, và một số thói quen thực sự thay đổi mức độ rủi ro của bạn trên các mạng bạn không kiểm soát.

HTTPS Thực Sự Đã Giải Quyết Được Gì

Phải công nhận đúng chỗ. HTTPS — phiên bản mã hóa của giao thức web — đã khắc phục phiên bản lớn nhất và thô sơ nhất của vấn đề Wi-Fi công cộng.

Năm 2014, ai đó trên cùng mạng sân bay với bạn có thể chạy một công cụ miễn phí, theo dõi trình duyệt của bạn tải Facebook, và mang về session cookie của bạn. Loại tấn công đó gần như đã chết. Sự kết hợp của HTTPS-mặc-định, HSTS (một cờ hiệu báo trình duyệt “đừng bao giờ tải trang này qua HTTP thuần nữa”), và các quy tắc cookie chặt chẽ hơn có nghĩa là việc nghe lén thụ động các trang phổ biến không còn thu được nhiều.

Nếu mô hình mối đe dọa của bạn là “tôi không muốn một thiếu niên chán nản ngồi mấy bàn bên cạnh đọc email của mình,” HTTPS đã đưa bạn đến đó rồi.

Mô hình mối đe dọa một bậc cao hơn mới là nơi mọi thứ trở nên thực tế hơn.

Những Gì HTTPS Không Bảo Vệ Được

HTTPS mã hóa nội dung kết nối của bạn đến một máy chủ cụ thể. Nó không bảo vệ các bước trước khi kết nối đó được thiết lập, và không bảo vệ bạn khỏi chính mình khi có điều gì đó trông hơi khác thường. Đây là nơi rủi ro Wi-Fi công cộng vẫn tồn tại.

Captive Portal Injection

Trang “đồng ý điều khoản” hiện ra khi dùng Wi-Fi khách sạn và sân bay được gọi là captive portal. Để hoạt động, mạng phải chặn yêu cầu web đầu tiên của bạn và chuyển hướng đến nơi nó muốn. Đó là một man-in-the-middle theo thiết kế. Được phép, nhưng vẫn là man-in-the-middle.

Một captive portal vận hành tốt thì vô hại. Một cái vận hành tệ (hoặc cố tình thù địch) có thể phục vụ JavaScript cho bạn, đẩy các bản cập nhật phần mềm giả, hoặc lặng lẽ lập hồ sơ mọi thiết bị kết nối. Điện thoại của bạn thường hiển thị portal trong một trình duyệt thu gọn không có thanh địa chỉ đầy đủ, khiến bạn khó nhận ra bạn đang thực sự xem gì.

DNS Hijack trên Resolver Yếu

Khi bạn gõ bank.com, thiết bị của bạn hỏi DNS resolver của mạng “địa chỉ IP của trang đó là gì?” Trên mạng công cộng, resolver đó do người sở hữu điểm truy cập vận hành.

Một resolver bị cấu hình sai hoặc có ác ý có thể nói dối. Nó có thể gửi bạn đến một máy chủ không phải ngân hàng của bạn, rồi trình bày chứng chỉ của chính nó. Trình duyệt hiện đại sẽ cảnh báo bạn — nhưng chỉ khi chứng chỉ sai, và chỉ khi bạn đọc cảnh báo thay vì nhấp qua.

SSL Stripping trên Các Trang Cấu Hình Sai

SSL stripping là một thủ thuật cũ vẫn hoạt động trong một số trường hợp hẹp. Kẻ tấn công ngồi giữa bạn và trang web bạn đang cố truy cập. Bạn gõ example.com (không có tiền tố https://), mạng chặn nó, tự tải trang HTTPS thật, và phục vụ cho bạn một bản sao HTTP thuần.

Các trang dùng HSTS preloading thì miễn nhiễm. Các trang không dùng (thường là dịch vụ nhỏ hơn, công cụ nội bộ, hoặc bất cứ thứ gì bạn truy cập qua bookmark cũ) thì không. Thanh địa chỉ sẽ lặng lẽ hiển thị http:// thay vì biểu tượng khóa, và hầu hết mọi người không để ý.

Điểm Truy Cập Giả và Evil Twin

Đây là loại đáng hiểu rõ, vì nó vượt qua hầu hết các biện pháp phòng vệ trên.

Điện thoại của bạn nhớ các mạng. Khi nó thấy một beacon (gói tin phát sóng nhỏ thông báo tên Wi-Fi) khớp với một mạng đã từng kết nối, nó có thể tự động kết nối. Kẻ tấn công với phần cứng mua sẵn có thể phát beacon giả danh Starbucks WiFi hoặc Hotel Guest, gửi khung deauthentication để đá điện thoại bạn ra khỏi mạng hợp pháp, và xem thiết bị của bạn nhảy sang mạng của họ mà bạn không cần chạm vào gì cả.

Từ đó, kẻ tấn công là mạng. Chúng kiểm soát DNS. Chúng vận hành captive portal. Chúng thấy ứng dụng nào trên thiết bị của bạn đang cố kết nối đến máy chủ nào, dù nội dung được mã hóa. Chúng có thể phục vụ trang captive portal của riêng mình, thử SSL stripping trên bất cứ thứ gì chưa được preload, và yêu cầu thông tin đăng nhập trong thứ trông như một luồng đăng nhập bình thường.

Tên kỹ thuật là “evil twin,” và điều đáng chú ý là không có gì cảnh báo bạn rằng điều đó đang xảy ra. Điện thoại của bạn chỉ hiển thị biểu tượng Wi-Fi quen thuộc.

Certificate Warning Conditioning

Trình duyệt trở nên giỏi với cảnh báo. Người dùng trở nên giỏi bỏ qua chúng.

Khi bạn thấy một cảnh báo chứng chỉ màu đỏ toàn trang, hầu như luôn có nghĩa là có gì đó sai với kết nối. Đôi khi vô hại (chứng chỉ hết hạn), đôi khi không (một man-in-the-middle đang hoạt động). Cách khắc phục là không nhấp qua. Trong thực tế, mọi người đã được đào tạo qua nhiều năm bởi các mạng doanh nghiệp cấu hình tệ để nhấn nút “tiếp tục dù sao” mà không đọc.

Trên mạng quán cà phê, nút đó có thể là toàn bộ cuộc tấn công.

Tấn Công Evil-Twin Hoạt Động Như Thế Nào

Nếu bạn muốn một bức tranh cụ thể về cách mọi thứ kết hợp với nhau, tấn công evil-twin là ví dụ rõ ràng nhất.

Kẻ tấn công mang theo một laptop hoặc thiết bị di động nhỏ vào quán cà phê. Chúng chạy một phần mềm làm ba việc theo trình tự.

Đầu tiên, nó quét không khí để tìm các mạng Wi-Fi gần đó và ghi lại tên (SSID) của mạng hợp pháp. Giả sử là Cafe Guest. Sau đó nó bắt đầu phát các khung beacon của riêng mình với cùng tên đó, thường ở công suất cao hơn để các thiết bị ưu tiên nó.

Thứ hai, nó gửi các khung deauthentication đến các client đang kết nối với mạng thật. Khung deauth là một phần bình thường của cách Wi-Fi hoạt động — chúng báo thiết bị “bạn đã bị ngắt kết nối, vui lòng kết nối lại.” Trên hầu hết các mạng chúng không được xác thực, nghĩa là bất kỳ ai cũng có thể gửi chúng. Điện thoại trên mạng thật bị đá ra và tìm nơi để kết nối lại.

Thứ ba, kẻ tấn công trình bày một captive portal. Nó có thể yêu cầu email và mật khẩu “để truy cập Wi-Fi miễn phí.” Nó có thể giả mạo trang đăng nhập của khách sạn. Nó có thể chỉ để bạn qua im lặng, định tuyến traffic của bạn qua kết nối của chính chúng, và ghi lại mọi thứ. Từ góc nhìn điện thoại của bạn, bạn đang online. Từ góc nhìn kẻ tấn công, chúng bây giờ là ISP của bạn.

Cách phòng thủ không phải là đọc packet header. Mà là làm cho cuộc tấn công không đáng thực hiện — bằng cách không tự động kết nối vào mạng lạ, bằng cách định tuyến traffic nhạy cảm của bạn qua thứ gì đó mà mạng cục bộ không thể nhìn vào, và bằng cách không nhập thông tin đăng nhập vào các trang bạn không cố ý điều hướng đến.

Wi-Fi Công Cộng Có An Toàn Năm 2026 Không?

Câu trả lời thực tế: đủ an toàn cho hầu hết mọi việc, không đủ an toàn cho mọi thứ.

Đọc tin tức, tra công thức nấu ăn, lướt mạng xã hội — ổn thôi. Chi phí nếu traffic đó bị sai là thấp và các biện pháp bảo vệ trong trình duyệt hiện đại là thật.

Đăng nhập vào ngân hàng, truy cập bảng quản trị công việc, phê duyệt giao dịch chuyển khoản, hoặc đăng nhập vào một dịch vụ mới gửi cho bạn mã khôi phục qua tin nhắn — đây là những khoảnh khắc có giá trị cao hơn, nơi khoảng cách giữa “có lẽ ổn” và “chắc chắn ổn” là quan trọng. Câu trả lời đơn giản để thu hẹp khoảng cách đó là không làm những việc đó trên các mạng bạn không kiểm soát.

Năm Bước Thực Tế

Không cần phải nghĩ đến packet frame. Đây là những thói quen.

  1. Tắt tự động kết nối cho mạng lạ.Trên iPhone, điều này nằm trong Cài đặt → Wi-Fi → Tự Động Kết Nối Điểm Phát Sóng, và theo từng mạng trong Wi-Fi → (tên mạng) → Tự Động Kết Nối. Mục đích là làm cho thiết bị của bạn hỏi bạn trước khi nó kết nối vào thứ gì đó có tên quen thuộc. Xem hướng dẫn cài đặt VPN trên iPhone để biết các bước liên quan.
  2. Ưu tiên dùng mạng di động hoặc điểm phát sóng của bạn khi có thể. Kết nối 5G không hoàn toàn riêng tư, nhưng nó có một nhà mạng duy nhất và có trách nhiệm, và không có cách dễ dàng để một người lạ chen vào giữa. Với bất kỳ việc gì nhạy cảm khi đi du lịch, điểm phát sóng của điện thoại bạn thường là câu trả lời tốt hơn mạng khách sạn.
  3. Dùng VPN cho những khoảnh khắc quan trọng. VPN, viết tắt của virtual private network (mạng riêng ảo), định tuyến traffic của bạn qua một đường hầm mã hóa đến một máy chủ bạn tin tưởng, vì vậy mạng cục bộ chỉ thấy một kết nối đó và không biết gì về đích đến. Điều này vô hiệu hóa hầu hết các loại trên: captive portal vẫn có thể làm phiền bạn, nhưng nó không thể thấy DNS lookup của bạn, không thể strip SSL trên các trang bạn truy cập, và không thể lập hồ sơ ứng dụng bạn đang dùng. Nếu bạn mới biết đến khái niệm này, bài giới thiệu về VPN thực sự là gì của chúng tôi bao gồm những điều cơ bản, và hướng dẫn VPN khi đi đường đi vào chi tiết cụ thể. Snap là một lựa chọn được xây dựng xung quanh phương pháp đó, nhưng thói quen rộng hơn quan trọng hơn thương hiệu.
  4. Không bao giờ nhấp qua cảnh báo chứng chỉ trên mạng công cộng. Nếu bạn thấy cảnh báo trình duyệt toàn trang về chứng chỉ, hãy đóng tab. Trên mạng nhà bạn, hầu như luôn là một trang cấu hình sai; trên Wi-Fi quán cà phê, có thể là ai đó đang chủ động ở giữa. Chi phí nếu sai cao đến mức “thử lại sau” là mặc định đúng đắn.
  5. Dành các thao tác đăng nhập và giao dịch nhạy cảm cho mạng đáng tin. Ngân hàng, đặt lại mật khẩu, bất cứ thứ gì liên quan đến mã khôi phục hoặc luồng xác thực hai yếu tố — những việc này đáng để chịu đựng sự bất tiện nhỏ là chờ đến khi bạn trở lại mạng di động hoặc Wi-Fi nhà. Sự tiện lợi khi làm chúng ở sân bay không đáng so với sự bất cân xứng của những gì có thể xảy ra.

VPN Khắc Phục và Không Khắc Phục Được Gì

Có rất nhiều tiếng ồn về điểm này, vì vậy đáng nói cụ thể.

VPN khắc phục được:

  • Khả năng mạng cục bộ xem DNS lookup của bạn
  • SSL stripping (traffic của bạn không đi qua mạng thù địch ở dạng cleartext)
  • Việc captive portal lập hồ sơ sau khi bạn đã qua captive portal
  • Khả năng điểm truy cập giả mạo tìm hiểu bất cứ điều gì hữu ích về hoạt động của bạn

VPN không khắc phục được:

  • Cảnh báo chứng chỉ bạn nhấp qua dù sao
  • Các trang phishing bạn chủ động đăng nhập vào
  • Malware đã có trên thiết bị của bạn
  • Việc các trang web bạn truy cập vẫn có thể nhận dạng bạn qua tài khoản và cookie

Đây là công cụ sắc bén cho một loại rủi ro Wi-Fi công cộng cụ thể. Nó không phải là lá chắn ma thuật, và các sản phẩm bán nó như vậy đang phóng đại những gì nó làm được. Bài tổng hợp của chúng tôi về các lầm tưởng phổ biến về VPN đi sâu hơn vào khoảng cách giữa tiếp thị và thực tế.

Kết Luận

HTTPS đã giải quyết phiên bản dễ của vấn đề. Phiên bản khó hơn, lớp bên dưới kết nối nơi DNS, captive portal và điểm truy cập giả mạo tồn tại, hầu như vô hình cho đến khi có gì đó sai.

Bạn không cần trở thành kỹ sư mạng để xử lý vấn đề này một cách hợp lý. Tắt tự động kết nối, hoài nghi với captive portal, không nhấp qua cảnh báo chứng chỉ, và dùng mạng di động hoặc VPN khi cược thực sự quan trọng.

Nếu bạn muốn phần VPN được xử lý gọn gàng trên iOS — không cần email khi đăng ký, không lưu nhật ký traffic, đăng ký được tính phí qua Apple ID — Snap được xây dựng xung quanh chính xác phương pháp đó. macOS đang được phát triển. Dù thế nào, điều quan trọng nhất không phải ứng dụng nào bạn cài; mà là bạn ngừng coi mạng quán cà phê như mạng của chính mình.

The Snap VPN Team
Editorial