公共 Wi-Fi 的風險(即使 HTTPS 已經普及)
幾年前,使用咖啡店網路的建議簡單而嚴峻:假設有人正在讀取你的流量。後來,HTTPS 幾乎在所有地方都成為預設選項,瀏覽器開始對明文站點發出警告,很多人也因此悄悄放下了戒心。
後半部分才是問題所在。HTTPS 普及後,公共 Wi-Fi 的風險並沒有消失——只是轉移了。過去那種被動地嗅探你 Gmail 密碼的竊聽者已基本絕跡。剩下的威脅更具針對性、更難察覺,因為鎖形圖示讓一切看起來都很正常。
本文將梳理 HTTPS 真正解決了什麼、沒有解決什麼,以及能切實降低你在陌生網路上風險敞口的幾個習慣。
HTTPS 究竟解決了什麼
功勞要承認。HTTPS——網路通訊協定的加密版本——確實修復了公共 Wi-Fi 問題中最大、最愚蠢的那個版本。
2014 年,與你在同一機場網路的人可以執行一個免費工具,監視你的瀏覽器載入 Facebook,然後帶著你的 session cookie 離開。這類攻擊基本上已經死亡。HTTPS 預設開啟、HSTS(一種告訴瀏覽器「永遠不要再透過明文 HTTP 載入此站點」的標誌)以及更嚴格的 cookie 規則相互配合,使針對主流站點的被動嗅探幾乎一無所獲。
如果你的威脅模型是「我不想讓三桌之外無聊的人讀我的郵件」,HTTPS 已經幫你做到了。
再往上一級的威脅模型,才是真正需要誠實面對的地方。
HTTPS 無法涵蓋的範圍
HTTPS 加密的是你與特定伺服器之間連線的內容。它不保護連線建立之前的步驟,也不保護你在面對某些看起來稍有異常的東西時的判斷。公共 Wi-Fi 的風險依然藏在這些地方。
強制門戶注入
連線飯店和機場 Wi-Fi 時彈出的「同意條款」頁面稱為強制門戶(Captive Portal)。為了讓它生效,網路必須攔截你的第一個網路請求並將其重新導向到它選擇的地方。這在設計上就是一種中間人行為——經過授權,但仍然是中間人。
營運良好的強制門戶無害。營運不善(或蓄意惡意)的門戶則可能向你投送 JavaScript、推送虛假軟體更新,或悄悄為每一台接入裝置建立檔案。手機通常會在一個沒有完整網址列的簡化瀏覽器中顯示門戶,這讓你更難判斷自己實際看到的是什麼。
弱解析器上的 DNS 劫持
當你輸入 bank.com 時,裝置會向網路的 DNS 解析器詢問「這個位址的 IP 是什麼?」在公共網路上,該解析器由接入點的所有者營運。
設定錯誤或存在惡意的解析器可以撒謊。它可以把你引導到一台並非你銀行的伺服器,然後呈現自己的憑證。現代瀏覽器會發出警告——但前提是憑證有問題,而且你讀了警告而不是直接點擊跳過。
設定錯誤站點上的 SSL 剝離
SSL 剝離是一種古老的技巧,在特定情況下仍然有效。攻擊者坐在你和目標站點之間。你輸入example.com(沒有 https:// 前綴),網路將其攔截,自己取得真正的 HTTPS 頁面,然後向你提供一個明文 HTTP 副本。
使用 HSTS 預載入的站點不受影響。沒有使用的(通常是較小的服務、內部工具,或你透過舊書籤存取的任何內容)則不然。網址列會悄悄顯示 http:// 而不是鎖形圖示,而大多數人不會去看。
流氓接入點與邪惡雙胞胎
這個值得好好理解,因為它繞過了上面提到的大部分防禦措施。
你的手機會記住網路。當它看到一個與曾經連線過的 Wi-Fi 名稱相符的信標(一種廣播 Wi-Fi 名稱的小封包)時,可以自動連線。擁有現成硬體的攻擊者可以廣播聲稱自己是 Starbucks WiFi 或 Hotel Guest 的信標,傳送解除認證訊框將你的手機踢離合法網路,然後看著你的裝置在你毫不知情的情況下跳轉到他們那邊。
此後,攻擊者就是那個網路。他們控制 DNS,營運強制門戶,能看到你裝置上哪些 App 在嘗試連線哪些伺服器——即使內容是加密的。他們可以提供自己的強制門戶頁面,對未預載入的內容嘗試 SSL 剝離,並在看起來正常的登入流程中索取憑證。
這種攻擊的技術名稱是「邪惡雙胞胎」,而令人不安的地方在於:沒有任何東西會警告你這正在發生。你的手機只會顯示熟悉的 Wi-Fi 圖示。
憑證警告訓練效應
瀏覽器在警告方面越來越好,使用者在忽略警告方面也越來越熟練。
當你看到全螢幕紅色憑證警告時,幾乎總意味著連線有問題。有時是無害的(憑證過期),有時則不然(正在進行的中間人攻擊)。應對方法是不要點擊跳過。但實際上,多年來設定糟糕的企業網路已經訓練人們在不閱讀內容的情況下直接按下「仍然繼續」按鈕。
在咖啡店網路上,那個按鈕可能就是整個攻擊的入口。
「邪惡雙胞胎」攻擊的實際原理
如果你想對這一切有一個清晰的認識,邪惡雙胞胎攻擊是最典型的例子。
攻擊者帶著一台筆電或小型可攜裝置進入咖啡店,執行一段依次完成三件事的軟體。
第一步,掃描周圍的 Wi-Fi 網路,記錄合法網路的名稱(SSID)。假設是 Cafe Guest。然後開始廣播同名信標訊框,通常以更高功率傳送,以便裝置優先選擇它。
第二步,向已連線到真實網路的用戶端傳送解除認證訊框。解除認證訊框是 Wi-Fi 正常運作的一部分——它們告訴裝置「你已斷線,請重新加入。」在大多數網路上,這些訊框未經認證,意味著任何人都可以傳送它們。真實網路上的手機被踢出後會尋找重新連線的地方。
第三步,攻擊者呈現一個強制門戶。它可能要求你輸入電子郵件和密碼「以存取免費 Wi-Fi」,可能模仿飯店登入頁面,也可能直接放你通過,悄悄透過自己的連線轉發你的流量並記錄一切。從你手機的角度看,你已上線;從攻擊者的角度看,他們現在是你的 ISP。
防禦方法不是去讀封包標頭,而是讓攻擊變得無趣——不自動連線未知網路、透過本地網路無法窺視的管道傳輸敏感流量,以及不在你沒有主動導覽到的頁面輸入憑證。
2026 年公共 Wi-Fi 安全嗎?
誠實的答案:對大多數事情來說足夠安全,對所有事情來說則不夠安全。
閱讀新聞、查食譜、滑社群媒體——沒問題。流量出錯的代價很低,現代瀏覽器的防護也是真實存在的。
登入銀行、存取工作管理面板、核准轉帳,或者登入一個會向你傳送復原碼簡訊的新服務——這些是更高價值的時刻,「大概沒問題」和「肯定沒問題」之間的差距在這裡很重要。彌合這一差距最簡單的方法,就是不在你無法控制的網路上做這些事。
五個實用步驟
這些都不需要你去思考封包訊框,它們只是習慣。
- 關閉對未知網路的自動連線。在 iPhone 上,這項設定在「設定」→「Wi-Fi」→「自動加入熱點」,以及每個網路的「Wi-Fi」→(網路名稱)→「自動加入」下。重點是讓你的裝置在連線到同名網路前先詢問你。相關步驟另見我們的 iPhone VPN 設定指南。
- 盡可能優先使用行動網路或個人熱點。5G 連線並非完全私密,但它有一個明確的、可究責的電信業者,陌生人無法輕易插入其中。外出時遇到敏感操作,手機熱點通常比飯店網路更好的選擇。
- 在關鍵時刻使用 VPN。VPN(即虛擬私人網路)將你的流量透過加密隧道路由到你信任的伺服器,本地網路只能看到那一條連線,看不到它的去向。這能中和上面提到的大多數風險類別:強制門戶仍然可以打擾你,但它看不到你的 DNS 查詢,無法對你存取的站點進行 SSL 剝離,也無法分析你正在使用哪些 App。如果你對這個概念還不熟悉, 我們關於 VPN 是什麼的入門介紹 涵蓋了基礎知識, 我們的旅行 VPN 使用指南 則深入介紹了具體情況。Snap 是圍繞這一理念打造的一個選項,但更廣泛的習慣比品牌本身更重要。
- 在公共網路上絕不點擊跳過憑證警告。如果你看到瀏覽器的全螢幕憑證警告,關閉該分頁。在家庭網路上,這幾乎總是站點設定錯誤;在咖啡店 Wi-Fi 上,可能是有人正在主動進行中間人攻擊。出錯的代價足夠高,「稍後再試」是正確的預設做法。
- 將敏感登入和交易留到可信網路上進行。銀行操作、密碼重設、任何涉及復原碼或雙因素驗證流程的事情——這些都值得等到回到行動網路或家庭 Wi-Fi 後再進行,那點小小的不便遠小於在機場操作可能帶來的風險不對稱。
VPN 能修復什麼,不能修復什麼
這一點有很多雜訊,值得說清楚。
VPN 能修復的:
- 本地網路查看你 DNS 查詢紀錄的能力
- SSL 剝離(你的流量不會以明文形式穿越惡意網路)
- 通過強制門戶後的門戶分析行為
- 流氓接入點從你的活動中取得任何有用資訊的能力
VPN 不能修復的:
- 你主動點擊跳過的憑證警告
- 你主動登入的釣魚頁面
- 已經在你裝置上的惡意軟體
- 你存取的網站仍然可以透過帳號和 cookie 識別你這一事實
它是針對一類特定公共 Wi-Fi 風險的利器,而不是魔法盾牌——把它當作魔法盾牌來推銷的產品都是誇大其詞。我們關於 常見 VPN 誤解 的彙整文章深入探討了更多行銷與現實之間的差距。
結論
HTTPS 解決了問題的簡單版本。更難的版本——連線之下的那一層,DNS、強制門戶和流氓接入點所在之處——在出問題之前幾乎是隱形的。
你不需要成為網路工程師才能對此保持理性。關閉自動連線,對強制門戶保持懷疑,不要點擊跳過憑證警告,在風險真實存在時使用行動網路或 VPN。
如果你希望在 iOS 上以簡潔的方式處理 VPN 部分—— 註冊無需電子郵件,不記錄流量紀錄,訂閱透過你的 Apple ID 悄悄完成扣款—— Snap 正是圍繞這一理念打造的。macOS 版本也即將推出。但無論如何,最重要的事不是你安裝了哪個 App,而是你不再把咖啡店網路當作自己的網路來對待。