香港港鐵WiFi安全嗎?誠實的答案
香港港鐵免費WiFi每天服務數百萬通勤者。但它真的安全嗎?對港鐵網絡的誠實安全評估,以及給日常通勤者的實用建議。
香港港鐵免費WiFi每天服務數百萬通勤者。但它真的安全嗎?對港鐵網絡的誠實安全評估,以及給日常通勤者的實用建議。
港鐵WiFi由多家WiFi供應商共同覆蓋整個港鐵網絡。政府計劃「WiFi.HK」涵蓋大多數港鐵站,以「WiFi.HK」SSID提供免費公共WiFi。這與流動網絡商直接提供的WiFi分開,並額外補充——中國移動香港、數碼通及3HK均在許多港鐵站設有各自的熱點。在部分路線上,你亦可能看到供應商專屬的SSID,例如HKT的「PCCW-WiFi」。
港鐵公司本身透過「MTR-WIFI」SSID在東鐵、西鐵及屯馬線的列車上提供WiFi,需透過強制登入頁面進行登記或登入。機場快綫則為所有乘客提供免費WiFi ↗。大多數地下月台的WiFi來自WiFi.HK計劃或網絡商熱點,而非直接由港鐵公司提供。這種多供應商的架構意味著安全標準並不統一——部分熱點的管理比其他更好。
登記要求因供應商而異。WiFi.HK熱點通常要求透過強制登入頁面以電郵地址或電話號碼進行簡單登記。部分網絡商熱點允許用戶自動連線。強制登入頁面的登記過程本身也是一個安全考量——你正在向一個你無法控制的網絡提交資料(電郵或電話號碼),而此時的連接在登記時可能尚未加密。這些資料或有可能被收集並濫用,或強制登入頁面本身可能是偽裝成流氓網絡的釣魚頁面。
港鐵站的WiFi.HK熱點是開放、未加密的網絡。SSID在沒有WPA2或WPA3密碼保護的情況下廣播——任何人無需任何憑證即可連接。這意味著在網絡層面,你的設備與接入點之間的流量並未透過WiFi協議本身進行加密。在同一網絡上運行封包擷取軟件的任何設備,若流量未經獨立加密(透過HTTPS或VPN),均有可能截取你的流量。
港鐵WiFi的龐大用戶數量既是風險,也在一定程度上是緩解因素。擁有數千名同時在線用戶的熱門網絡在大規模攻擊方面難度相對較高——執行中間人攻擊的攻擊者只能針對有限數量的特定目標,而非無差別地擷取所有流量。然而,港鐵站也是高流量、高價值的環境,罪犯可以預期大量用戶正在查看電郵、社交媒體,甚至使用銀行應用程式。潛在受害者的密度使針對性攻擊對攻擊者而言是值得的。
港鐵站的「惡意孿生」攻擊是一個有據可查的威脅。「WiFi.HK」SSID眾所周知,罪犯可以架設廣播相同SSID的接入點以吸引連接。由於網絡沒有密碼,設置為自動連接到WiFi.HK的設備將連接到信號最強的接入點——而這可能是攻擊者的流氓接入點,而非合法的車站熱點。如果你的設備之前已連接過WiFi.HK,你的手機或電腦在每次偵測到該SSID時都會嘗試自動重新連接。在同一車站的攻擊者可以廣播更強的「WiFi.HK」信號,並擷取你設備的自動連接。
日常通勤者面對累積性的暴露風險。如果你每個工作日在45分鐘的通勤途中連接港鐵WiFi,每年累計約180小時的暴露時間。大多數暴露屬低風險——如果你只是瀏覽HTTPS新聞網站或透過加密連接串流播客,風險微乎其微。當通勤者習慣性地利用通勤時間處理工作電郵、存取業務系統、在未切換至流動數據的情況下使用銀行應用程式,或在可能未完全使用HTTPS的網站上提交表單時,風險便會顯著上升。
從新界通勤至中環的商業專業人士往往利用東鐵或屯馬線的通勤時間處理生產力工作——查看電郵、審閱文件、透過網頁入口連接公司系統。如果這些活動在沒有VPN保護的情況下透過港鐵WiFi進行,敏感的商業資訊便會在未加密的公共網絡上傳輸。鑑於針對香港公司的商業電郵詐騙是一種活躍且資金充裕的犯罪活動,可預測的每日在特定網絡出現與珍貴商業數據的組合,使通勤專業人士成為值得攻擊的目標。
在港鐵WiFi上使用流動銀行應用程式尤其值得注意。大多數香港銀行應用程式使用加密的HTTPS連接及應用程式層面的安全措施,因此你的銀行數據本身是加密的。然而,應用程式的身份驗證過程——尤其是在網絡上接收到的任何短訊一次性密碼——可能對網絡監視者可見。透過流動網絡接收的短訊不受WiFi監控影響,但若你在WiFi和流動數據之間切換接收短訊,或銀行應用程式本身傳輸驗證數據,WiFi環境便會增加風險。
最有效的單一行動是在連接港鐵WiFi前啟用VPN。許多優質VPN應用程式(NordVPN、ExpressVPN、Mullvad等)提供自動連接功能,在你連接到公共網絡時自動啟用VPN。啟用此功能後,你無需每次通勤都記得手動啟動VPN即可獲得保護。選擇日本、新加坡或南韓的VPN伺服器,以將港鐵通勤的延遲影響降至最低——這些地區伺服器提供快速連接及完整加密。
在你的設備上停用港鐵WiFi的自動連接功能。不要將「WiFi.HK」設為已儲存的自動連接網絡,而應設為「詢問是否加入」或每次手動連接。這可防止你的設備自動連接到廣播熟悉SSID的惡意孿生網絡,並讓你有片刻時間確認你正連接到預期的網絡。在iPhone上,你可以將個別網絡設為不自動加入:設定 → WiFi → 點擊網絡名稱旁的「i」→ 關閉「自動加入」。
將你的通勤活動分層管理。對於低敏感度的通勤活動——閱讀新聞、串流音樂、收聽播客——在啟用VPN的情況下使用港鐵WiFi。對於涉及工作電郵、業務系統或財務帳戶的任何活動,則切換至流動數據連接。大多數香港流動數據計劃提供充裕的數據配額(50GB或以上),可輕鬆應付因切換至流動數據處理敏感任務而產生的額外用量。港鐵列車行駛途中在大多數路線上均有流動網絡訊號,使流動數據成為整個網絡範圍內的實用選擇。
