中国邮箱网讯 3月18日消息，央视315晚会现场找了戴着眼罩的工程师来演示，如何通过公共WiFi，获取用户手机的操作系统、正在运行的App等信息，甚至还可以获取到用户手机中存储的邮箱、密码等隐私信息。这个是怎么做到的？

首先看一下如何获取操作系统信息，获取操作系统信息都是利用所谓的“特征码”，或者说指纹。不同操作系统发送数据包的过程中，会出现一些特有的行为，比如TTL值、IP头部信息。比如张三喜欢用牛皮纸做信封、并且常用黑色钢笔；李四喜欢用铜版纸做信封，常用蓝色圆珠笔。那么根据这些信息就可以大概判断出是谁发送的信。同样的，也可以判断出是哪些APP发送的数据。

接下来就是如何截获用户名密码，很多人设置客户端邮箱的时候没有注意到“使用安全链接（SSL）”的选项，所以发送的邮箱用户名密码，甚至邮件内容都是明文的。如果一份信件被投到了一个假的邮筒，那么假邮筒的拥有者就可以随意查看你的信件内容了。但是张三和李四约定，写信的时候会把字母A替换成C，把字母B替换成Z等等，这样别人看到的就是一堆乱码了。而SSL是更为复杂和安全的加密方式。我们浏览网站的时候会看到有些网站是https:// 开头的，而不是http:// ，这类网站就是使用了SSL加密技术（不过现在注重安全的网站都会升级为TLS，安全等级更高）。类似的，把A替换成C，B替换成Z这样写起信来速度很慢，SSL也会导致速度变慢，所以有些网站会把网页上部分重要内容使用SSL加密，部分内容使用明文传输。这样做虽然可以防止窃听，但是可以被中间人攻击篡改页面，导致客户端使用明文发送用户名密码。

前面有人提到使用sslstrip可以破解SSL，它的原理就是制作一个假的服务器证书来欺骗客户端，一般浏览器都可以发现假的SSL证书并弹出警告，如果忽略警告就会被盗取信息了。（sslstrip也可以把https:// 强行修改为http:// 这时候不会弹出安全证书提示，也需要注意）

使用公共wifi的时候一定要注意：

另外补充一点，在一些个人或中小企业网站注册的时候要特别注意，不要使用和敏感账户（如支付宝、QQ、邮箱）相同的密码，一般这些网站都不会加密存储你的密码。也不要在上面留下个人专用的联系方式，发布可能泄露个人信息的内容，个人信息的泄露跟密码泄露都是一样危险的事情，必须要重视。信息安全界的“社会工程学”就是利用这些信息来实施入侵的，往往比直接使用技术手段更加高速有效。

文章来源：果壳问答