WiFi 共享软件盗取用户隐私?我们分析了其中的技术原理……

近日,隐私护卫队注意到这样一则报道:《WiFi万能钥匙盗取信息 9亿用户如同“裸奔”》。报道称,名为WiFi万能钥匙的免费软件会通过安装者的手机窥探周边的 WiFi 信息,悄悄偷取各类WiFi的密码,从而帮助安装者免费“蹭网”。不仅如此,安装者还能在软件中看到WiFi主人的个人信息。

隐私护卫队实测发现,该软件直连“蹭网”的前提是WiFi主人主动共享了密码信息,如果想避免自家的网络被“蹭”,应注意手机中的相关设置,关闭共享功能。

Wifi

主人开启分享热点功能 他人才能上网

前述报道称,记者安装软件后,在北京多个地方成功连接陌生人家的WiFi,其中既包括小区居民,也包括商场、餐厅、咖啡店,以及金融机构等。此外,记者通过360root工具获取手机的root权限后,还可以看到已成功连接的WiFi的密码。有些WiFi主人的密码是手机号,记者可通过手机号找到主人的微信。

隐私护卫队查证发现,报道中提到的“WiFi万能钥匙”,是一款免费的WiFi 共享软件。根据WiFi万能钥匙的官网描述,软件是利用热点主人分享的闲置WiFi资源来提供服务的。

多位技术人员向隐私护卫队解释,其中的工作原理可以理解为,用户A通过WiFi万能钥匙登陆某个WiFi ,在软件中输入了WiFi密码,软件便会存储该WiFi 的IP和密码到自己的数据库。当另一个Wifi万能钥匙的用户B搜到该WiFi时,软件可通过调用数据库内保存的密码信息,帮助用户B直接登录。

WiFi万能钥匙的一位客服人员告诉隐私护卫队,一些WiFi主人在APP中开启了分享热点功能,所以其他用户才能不输入密码就连接成功。换言之,只有WiFi 主人同意共享,陌生人才能免费“蹭网”。目前只有安卓版本的WiFi万能钥匙有分享热点功能,苹果版本没有。

WiFi 万能钥匙苹果版本界面。

WiFi 万能钥匙安卓版本界面。

WiFi 万能钥匙分享页面

Wifi

共享软件如被侵入,存在信息泄漏风险

隐私护卫队使用苹果和安卓手机亲测发现,Wifi万能钥匙确实可以连接到一些周边Wifi,但连接中并没有明文显示这些 WiFi 的密码。前述报道中提到,记者通过360root工具获取手机的root权限,进而看到WiFi密码,是怎么回事呢?

有技术人员向隐私护卫队解释,安卓系统中有个文件是用来存储WiFi密码的,此文件只有获得root权限后才能访问。root后就获得了访问权限,可以查看连接成功的WiFi的密码。

那么,为什么有些人没有分享过热点,自家WiFi也成了共享 WiFi呢?WiFi万能钥匙客服人员说,可能是这些人的家人朋友使用过WiFi万能钥匙,进行了分享热点操作。

隐私护卫队注意到,WiFi万能钥匙的用户协议中有如下段落:“WiFi万能钥匙并不自行创造内容,所有数据内容均由您主动上传,WiFi万能钥匙仅承担存储者的角色。作为网络服务提供者,WiFi万能钥匙仅为您提供上传空间服务,供公众分享WIFI热点信息等内容,WiFi万能钥匙对您传输内容仅作安全加密保存,除此之外不做任何其他修改或编辑,也不对您上传的数据内容的适用性、合法性等提供审查及担保服务。”

有技术人员告诉隐私护卫队,尽管WiFi共享软件一般不会盗取用户密码,但使用时还是需要谨慎。因为这类软件会将用户授权共享的 WiFi信息存储在自己的数据库内,如果有黑客侵入,还是会掌握这些信息,给用户带来风险。

WiFi共享软件回应“偷密码”

原理非破解,用户损失可索赔

近日,央视财经频道的一则报道《偷密码的“万能钥匙”》引发网民热议。报道称,名为“WiFi万能钥匙”的免费软件会通过安装者的手机窥探周边的 WiFi 信息,悄悄偷取各类WiFi的密码,从而帮助安装者免费“蹭网”。不仅如此,安装者还能在软件中看到WiFi主人的个人信息。(详情可参考隐私护卫队稍早前报道WiFi 共享软件盗取用户隐私?我们分析了其中的技术原理……)

3月29日晚,WiFi万能钥匙回应称,软件的运行原理是热点共享,不是破解。“我们高度重视本次报道,已成立专门工作小组,继续优化现有产品的流程。”WiFi 万能钥匙在声明中写道。

质疑一:软件偷取他人WiFi密码和流量

央视报道:瞬间,吉庆里小区11号楼以及周边所有的Wi-Fi信号全部显示出来。短短的几秒钟时间,记者就连接上了一个tenda的加密网络。而这个Wi-Fi究竟是谁的?承担什么功能?记者在一无所知的情况下,软件就帮助记者的手机顺利进行了登陆。随即,这个Wi-Fi网络背后的一切,都展示在了记者的面前。

WiFi 万能钥匙回应,软件的运行原理是热点资源共享,不是破解。软件获取的用户信息均在法律法规允许的范围内,还须经过用户同意。为了保护用户的网络安全,WiFi 万能钥匙为每一位用户提供了WiFi安全险,用户或主人因使用软件遭遇财产损失可索赔。

质疑二:借用软件可查看明文WiFi密码

央视报道:如果用户的后台原始密码没有修改的话,输入admin是可以直接进入路由器的后台,看到一些连接人的信息,包括一些黑客可以对银行卡密码这些信息进行盗取,但是这家已经修改了原始密码。

那么这户人家的Wi-Fi密码是多少呢?记者打开Wi-Fi钥匙软件,通过360root工具,获取到root权限后,在Wi-Fi钥匙里就能查看到这家无线Wi-Fi的密码。在手机屏幕上直接显示出,该密码是一个尾号为9835的手机号码。

WiFi 万能钥匙回应,对密码采用128位非对称加密,从不明文显示密码。报道中提及的密码查看功能,是厦门某企业的产品“WiFi钥匙”提供,且此功能需要通过第三方 root 工具获取手机系统管理权限后才能使用。“WiFi钥匙”只是与WiFi 万能钥匙名称近似,二者所属公司并无关联。节目中出现的可明文显示密码的软件均是WiFi 万能钥匙的山寨版,近两年WiFi 万能钥匙已举报下架此类山寨软件1669个。

质疑三:WiFi 未经主人分享即可使用

央视报道:在北京市东城区朝阳门内大街2号的中国银行北京市分行。中国银行的英文名称是bank of china,每个开头字母的缩写是BOC。在中国银行北京市分行的自助柜台机(ATM)旁边,记者打开手机,5秒钟的时间,不仅成功地连接上BOC_CA的无线网络,而且还能看到它的IP地址,子网掩码,路由器等相关信息数据。那么这个刚刚连接上的BOC_CA的无线网络,与中国银行北京市分行有什么关系呢?

工作人员告诉记者, BOC-CA 是这个大楼内银行其它部门的网络。但是,即便是被加密,依然被Wi-Fi万能钥匙和Wi-Fi钥匙两个软件轻松窃取,并予以了连接。

WiFi 万能钥匙称,一直强调由 WiFi热点主人分享热点,并加大查处非热点主人进行分享的力度,也将进一步优化热点分享的取消流程,保护热点主人的权益。

以下为WiFi 万能钥匙声明全文:

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180330G1WCTQ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券