| ||||||
在4G牌照未明,3G又力不從心的這一時期,扮演過渡性角色的WLAN 讓中國移動傷不起 ◎ 本刊記者 覃敏 文在移動互聯網時代,當人們享受著智能手機帶來的便捷、娛樂 之際,或許,哪天還會猝不及防地接到一筆天外飛來的高額流量費。 今年2月,廣東省茂名市的小梁在不知不覺中被“偷”走了一筆流量費。 小梁是資深中國移動用戶,使用LG 智能手機。2月10日手機突然欠費停機,這讓五六天前剛交了200元話費的小梁格外詫異。他後來上網查了賬單,赫然發現自己居然在呼和浩特產生了100 多 元 的 WLAN(Wireless Local Area Networks,即無線局域網)流量費。 “我都不知道自己開通過WLAN業務。況且,怎麼可能前一秒在茂名打電話,下一秒就在呼和浩特用 WLAN 上網了呢?”小梁告訴財新記者。 同小梁的遭遇相似,廣州市人防建築設計研究院設備所的張先生在短短兩天內亦收到百元 WLAN 賬單,使用WLAN 的地點竟然在遼寧。張先生告訴財新記者,中國移動客服接到投訴之後解釋稱,可能是 WLAN 密碼被盜,經過審核後,中國移動最終將流量費返還給了他, “當時,客服一點也不驚訝,好像已經處理過很多起這樣的投訴。 ”據財新記者瞭解,近半年來,浙江、湖北、廣東等地陸續發生中國移動WLAN 密碼被盜事件。那麼,這到底是個別現象還是一起影響甚廣的事故? 到底是源於黑客大肆攻擊,還是中國移動內部的系統性漏洞?答案是後者。 WLAN認證平台存缺陷 實際上,WLAN 密碼被盜早在去年5月就已出現。一位中國移動分公司高管告訴財新記者, “通過後台數據分析,我們發現這並非個案,受到影響的人很多,於是上報給了集團。 ”一開始,中國移動懷疑 WLAN 密碼被盜是遭黑客的惡意攻擊:如果黑客悄無聲息地在用戶使用的應用軟件中植入病毒,或用戶使用了有惡意後門的山寨智能機,很可能導致手機自動向10086發送申請開通 WLAN 的短信,而黑客在後台截留短信獲得用戶密碼,再倒手轉賣出去獲取暴利。 “黑客控制的是用戶端,而中國移動的 WLAN 認證平台無法分辨到底是用戶主動發起的請求還是黑客控制下發起的請求。如果是以這種手法盜取WLAN 密碼,中國移動需要做的工作就會難很多。不過,黑客攻擊一個個用戶,規模不會大到哪裡去。 ”安徽移動一位內部員工對財新記者稱。 不能確定緣由的中國移動找到了WLAN 認證平台廠商亞信聯創,雙方技術人員一起測試,尋找 WLAN 密碼被盜的關鍵點。 “大概到了2012年年底,雙方完全排除了高級黑客入侵的可能性,將目光鎖定在 WLAN 認證平台自身的漏洞上。 ”一位接近中國移動的知情人士透露,為改善用戶體驗,中國移動曾力推無感知認證平台,只要開通了這個認證,首次輸入賬號、密碼之後,以後連入該接入點都會自動登錄WLAN,不再需要手工輸入賬號密碼,“可能是這個認證平台在WLAN跨省漫遊或其他特殊場景下的認證功能沒有考慮周全,出現了業務漏洞,導致用戶的WLAN密碼很容易被盜。 ”此外,中國移動的 WLAN 密碼是六位純數字的靜態密碼。如黑客在後台偽造一個 WLAN 入口,客戶輸入靜態 密碼時也很容易被盜。 上述中國移動分公司高管坦言,“WLAN 認證平台由集團總部統一建設、統一管理,一旦出現問題,自然是全國性的事。 ”據 《海寧日報》3月1日消息,中國移動25家省公司出現上萬起“WLAN 賬號被盜”投訴,在排查處理過程中,發現有不法分子在淘寶上公開售賣被盜用WLAN賬號,僅今年1月疑似被盜用 WLAN 賬號成交記錄就超過50萬筆。 “現在是100個開通 WLAN 的人里有三四十個人被盜的概率,簡直是觸目驚心。 ”上述中國移動分公司高管稱。 獨立電信分析師付亮認為,中國移動現在的 WLAN 服務,只要有一個賬號、密碼,就可多人在全國範圍內共享使用。這種模式在 WLAN 免費的時候無可厚非,但一旦收費,就可能暴露盜號、偷流量等漏洞風險。 尷尬的 WLAN 中 國 移 動 客 服 告 訴 財 新 記 者, 對 WLAN 流量被盜事件,公司已制定了一整套處理措施,接訴後48小時之內核查並按照相關規定返還話費。小梁認為,這是中國移動應該做的,因為自己是莫名其妙 “被”開通的WLAN服務,“誰開通的這個服務,就應該誰負責” 。 而小梁又為何“被”開通 WLAN 呢?福建移動內部員工解釋稱,從正式流程上,開通 WLAN 必須給用戶發出提醒,但一些地方為了沖用戶量,即便用戶不使用,也會用一些手段,如在 BOSS 側(Business & Operation Support System,即業務運營支撐系統)把提醒關閉掉,悄悄地給用戶開通WLAN。 自去年5月發現WLAN 密碼被盜以來,中國移動並未主動提醒用戶,甚至一度對高額流量被盜的原因諱莫如深。 直至今年1月24日,中國移動對外統一口徑,稱 “部分地區出現了 WLAN 賬戶被不法分子破解、WLAN 賬戶被盜,對客戶利益受損感到痛心” ,希望用戶修改密碼,主動聯繫中國移動以退還由此產生的流量費,同時提醒用戶不要購買淘寶出售的被盜WLAN 賬號密碼。在這次公告中,中國移動沒有提及WLAN密碼被盜的具體原因。 接近中國移動的知情人士分析,中國移動十分擔心用戶知道 WLAN 認證 平台存在漏洞之後,在收費的情況下對使用 WLAN 產生恐懼,這會讓中國移動陷入戰略上的被動。 實際上,WLAN 對於中國移動既重要又尷尬。據一位中國移動內部人士介紹,中國移動對 WLAN 的定位是分流2G\3G 數據流量,緩解2G 網絡的數據壓力。但從技術角度看,WLAN 技術不屬於傳統的通信系統,認證、計費 都相對獨立,安全性能也相對較弱。如若不是缺乏3G 網絡競爭力,中國移動不會如此下力氣去做WLAN。 而中國移動興建 WLAN 投入的成本很大,一味的免費勢必讓 WLAN 業務成為一個新的虧損點。 “所以中國移動希望對 WLAN 進行收費以彌補部分成本,自然要建立相應的認證和計費平台。 ”付亮稱。 在尚未啓動全面收費之際,中國移動顯然不希望WLAN 認證平台存在的漏洞被外界知曉。 “WLAN 被中國移 動 納 入 GSM+TD-SCDMA+TD- LTE+WLAN 四網協同戰略,如若影響用戶對 WLAN 的感知,在4G 牌照未明、3G 又力不從心的這一刻,這將會對中國移動產生不利影響。 ”一位接近中國移動的知情人士稱, “中國移動希望悄悄地在後台完善 WLAN 認證平台,並水到渠成地實現收費。所以,現在是要賠多少就多少,只要不影響 WLAN 的品牌。 ” 使用率瓶頸 上述接近中國移動的知情人士說,中國移動已經為這次 WLAN 認證平台設計不周付出了代價,現在正想方設法地彌補漏洞、改善運營。WLAN 技術雖不走傳統的通信系統安全協議,若它獨立的認證、計費等平台充分考慮安全性,亦可實現規範的商業化運營。付亮認為,WLAN 認證平台的設計應該在用戶體驗和安全性之間尋找平衡,如若 WLAN 認證太複雜,讓用戶使用時覺得繁瑣,這也達不到推廣WLAN的目的。 “其實從技術層面來講,這個問題真正解決起來並不難。 ”上述中國移動分公司高管坦言。 實 際 上, 高 額 的 流 量 費 並 非WLAN 的致命傷。對於中國移動來說,當前發展 WLAN 最關鍵的問題是如何提高它的使用率。 “由於WLAN熱點覆蓋的局限性,當前使用率並不高,在有些地方甚至相當低。 ”安徽移動內部員工舉例稱, “在安徽某縣城的中心廣場,甚至出現過一個 WLAN 熱點的月均流量差不多只有30M的情況。 ”低使用率背後是不菲的 WLAN 建設成本。浙江移動市場部人員葛長偉曾在博客上算過一筆賬,WLAN 單個 AP (無線接入點)每月只能帶來25元收入,但其每 GB 流量都要賠掉同等收入,各類維護費用更是遠超收入,其高昂的初始投資更加不可能收回,賠錢是必然。 “如若不能提高使用率,通過規模效應降低平均成本,那麼 WLAN 很難看到好的預期。 ”上述中國移動分公司高管稱, “打個比方,同樣拿出100 萬元進行投資,我用100萬元投資3G,每年可以獲得兩三百萬收益;而投資WLAN,每年不賺反倒還要賠50萬元,久而久之,我們自然會對 WLAN 失望。 ”他介紹,目前中國移動南方的很多省份做 WLAN 的力度在減弱,北方個別省份如山東還是在努力向前推。 中國聯通、中國電信在 WLAN 上的策略與中國移動卻不一樣。擁有一張成熟3G 牌的中國聯通一直將 WLAN 作為 WCDMA 的補充;具有足夠強大固網支持的中國電信則是依托固網寬帶 發力WLAN。據亞信聯創內部人士稱,當前這兩家運營商在 WLAN 上的投資熱情也在消減。 | ||||||