只要你不去 root/越狱 你的手机,随便用wifi都是基本安全的。否则,你怎么用都是不安全的。
----
支付宝钱包等在传递敏感信息时是会使用SSL加密的。如果你不信任免费WIFI中继你的信息,那么你也不能在家用电脑上支付宝。事实上你传输的信息对途中每个跃点都是可见的,即便这些节点都是完全可信的,你也可能在PPPoE拨号上网时被人劫持流量,从而看到你发送的信息。
SSL的安全性就体现在当信息对中间传话的人完全可见的时候,密文信息仍然不能被读取或篡改,虽然这东西也出过岔子,但总的来说仍然是很值得信任的。
----
让我来用浅显的方式解释一下这个过程为什么安全,为了能让没有密码学基础的盆友们理解这个过程,我做了一些不恰当的比喻,请懂的人轻拍:
服务器如何确保用户安全的向自己传递信息?形象的说,就是寄给用户一个用户可以打开的,装有一个自己可以打开的保险箱的保险箱,这就是服务器的证书,如图:
----------------------
接着, 用户使用根证书验证服务器证书的有效性 ,获得服务器的公钥。
--------------------------
再然后, 用户使用服务器的公钥对信息明文进行加密 。
---------------------------
接着, 用户将密文经过不可信网络发给服务器 。
---------------------------
最后, 服务器用自己的私钥解开密文得到明文 。
你看,信息经过危险的世界,安全的到达了服务器。
综上,不要以任何形式在任何设备上安装来路不明的根证书,这是你能在电脑/手机上做的几乎最危(zuo)险(si)的事情。
----
至于那些不加密直接明文传输信息的app,你就算在安全的WIFI下使用,信息其实仍然有很大的被窃取的风险,此时你已经可以放弃治疗了。
看到了@陶百百的答案,觉得他说的潜在的不安全性是不容忽视的 ,这里再简单补充一下:
由于sslstrip攻击的存在,在公共环境下使用web是存在危险的,请随时检查自己是否还处在https状态下。 部分应用错误的使用了SSL,造成了潜在的中间人攻击可能。但是情况并没有@陶百百说的那么严重。事实上,论文Why Eve and Mallory Love Android指出存在中间人攻击危险的程序约占8%。文中指出的这些使用SSL的错误,都是一些相对弱智的错误,如 信任所有的证书,允许所有的域名, 等等。这些错误,一个正常计算机专业的本科生都不大会犯,有理由相信以阿里的技术水平,应该不存在这些问题。
