某钥匙终于还是出大事了

记得XX钥匙第一次引起渲染在波是几年前的年会上，XX钥匙一次发了一批特斯拉，具体多少辆不记得了，大约十来辆吧，一时业内哗然。公众哗然，并不是说这家公司发特斯拉不对，而是这款软件提供的功能，真的，太忒么奇葩了——将所有使用者移动设备连接WiFi的记录上传，再分享给XX钥匙的使用者在需要时连接。

XX钥匙那年批发特斯拉后，在微博遭到安全从业人员的一致炮轰。毫不夸张，是一边倒的炮轰。因为稍微懂安全的人就知道这样干存在巨大的安全隐患，绝不仅仅只是“蹭网”这个小问题。

有一年春节我回老家，发现老家的亲戚朋友手机上普遍安装了XX钥匙。我就问，你们咋装这么个软件，你们知道这软件能干嘛么？答案是十分清楚的，“装这个能蹭别人家网啊”。

看，目的非常清楚。你能蹭别人家网这一点儿也不假，可你知道，你手机里安装后，你家里的网也会被别人蹭么？就算你不装，来你家的客人，要用你家WiFi，只要他手机里装了这个XX钥匙，你家的WiFi名字密码就被偷走了。

结果就是，全世界任意一个手机里安装了XX钥匙的人，只要经过你家附近，管他有没有跟你打招呼，是不是你的熟人朋友，他都可以随意连接你家的路由器，随便蹭网。

以为就这么简单吗？才不是呢。WiFi钓鱼攻击早在几年前就被央视揭露过，而且还不止一次。

假如你蹭网不幸中了黑客的招，你的手机所有上网流量都会被监视，在你连上钓鱼WiFi的一瞬间，若干个APP会有连网动作，不管你现在有没有手动运行它，这个APP登录网络的数据包都可能被截获，只要肯下功夫，你手机里的秘密就有暴露的危险。

当然，像手机网银、支付工具等安全设计等级较高的软件被破解的可能性要小很多，因为所有数据传输过程都被加密了，直接破解的门槛还是挺高的。

但设置这个WiFi陷阱的人，比大多数蹭网的人要聪明。他可以设计钓鱼网站，欺骗你点击，再借机盗取你的敏感信息。

这就完了吗？才没有。

对于大多数网络管理不够严密的中小企业、政府机关、事业单位来说，这个XX钥匙是网络安全的克星。只要任意一个手机上安装 XX钥匙的人连接过这些网络，网络安全的第一道安全保障就被解除了。一个不怀好意的攻击者，原来可能需要较复杂的步骤才能连接到准备攻击的网络，现在，他只要同样使用XX钥匙就能轻易突破。就跟央视电视节目中做的一样。接下来，黑客就能大显身手了。

总结一下有哪几点显而易见的危害：

蹭别人网的同时，自己家也会被其他人蹭网；

蹭别人网时，可能被窃取隐私信息；

单位只要有一位连接网络的手机有使用过XX钥匙，全世界不懂好意的人，就有机会连接单位网络入侵渗透。

怎么防？

能怎么防，第一步当然是卸载XX钥匙啦；接下来修改你家路由器设置，更换全新的密码。如果路由器有访客功能，可以打开，供客人使用，你限制好带宽就好。或者配置路由器的黑白名单，只允许你指定的设备连接。

对于企业网络，思路是一致的。对连接到内网的设备进行身份验证，只允许授权过的设备连接到内网。配置访客专用的WiFi，和办公内网隔离。教育员工，禁止使用XX钥匙。