WiFi 共享软件盗取用户隐私？我们分析了其中的技术原理……

近日，隐私护卫队注意到这样一则报道：《WiFi万能钥匙盗取信息 9亿用户如同“裸奔”》。报道称，名为WiFi万能钥匙的免费软件会通过安装者的手机窥探周边的 WiFi 信息，悄悄偷取各类WiFi的密码，从而帮助安装者免费“蹭网”。不仅如此，安装者还能在软件中看到WiFi主人的个人信息。

隐私护卫队实测发现，该软件直连“蹭网”的前提是WiFi主人主动共享了密码信息，如果想避免自家的网络被“蹭”，应注意手机中的相关设置，关闭共享功能。

Wifi

主人开启分享热点功能 他人才能上网

前述报道称，记者安装软件后，在北京多个地方成功连接陌生人家的WiFi，其中既包括小区居民，也包括商场、餐厅、咖啡店，以及金融机构等。此外，记者通过360root工具获取手机的root权限后，还可以看到已成功连接的WiFi的密码。有些WiFi主人的密码是手机号，记者可通过手机号找到主人的微信。

隐私护卫队查证发现，报道中提到的“WiFi万能钥匙”，是一款免费的WiFi 共享软件。根据WiFi万能钥匙的官网描述，软件是利用热点主人分享的闲置WiFi资源来提供服务的。

多位技术人员向隐私护卫队解释，其中的工作原理可以理解为，用户A通过WiFi万能钥匙登陆某个WiFi ，在软件中输入了WiFi密码，软件便会存储该WiFi 的IP和密码到自己的数据库。当另一个Wifi万能钥匙的用户B搜到该WiFi时，软件可通过调用数据库内保存的密码信息，帮助用户B直接登录。

WiFi万能钥匙的一位客服人员告诉隐私护卫队，一些WiFi主人在APP中开启了分享热点功能，所以其他用户才能不输入密码就连接成功。换言之，只有WiFi 主人同意共享，陌生人才能免费“蹭网”。目前只有安卓版本的WiFi万能钥匙有分享热点功能，苹果版本没有。

WiFi 万能钥匙苹果版本界面。

WiFi 万能钥匙安卓版本界面。

WiFi 万能钥匙分享页面

Wifi

共享软件如被侵入，存在信息泄漏风险

隐私护卫队使用苹果和安卓手机亲测发现，Wifi万能钥匙确实可以连接到一些周边Wifi，但连接中并没有明文显示这些 WiFi 的密码。前述报道中提到，记者通过360root工具获取手机的root权限，进而看到WiFi密码，是怎么回事呢？

有技术人员向隐私护卫队解释，安卓系统中有个文件是用来存储WiFi密码的，此文件只有获得root权限后才能访问。root后就获得了访问权限，可以查看连接成功的WiFi的密码。

那么，为什么有些人没有分享过热点，自家WiFi也成了共享 WiFi呢？WiFi万能钥匙客服人员说，可能是这些人的家人朋友使用过WiFi万能钥匙，进行了分享热点操作。

隐私护卫队注意到，WiFi万能钥匙的用户协议中有如下段落：“WiFi万能钥匙并不自行创造内容，所有数据内容均由您主动上传，WiFi万能钥匙仅承担存储者的角色。作为网络服务提供者，WiFi万能钥匙仅为您提供上传空间服务，供公众分享WIFI热点信息等内容，WiFi万能钥匙对您传输内容仅作安全加密保存，除此之外不做任何其他修改或编辑，也不对您上传的数据内容的适用性、合法性等提供审查及担保服务。”

有技术人员告诉隐私护卫队，尽管WiFi共享软件一般不会盗取用户密码，但使用时还是需要谨慎。因为这类软件会将用户授权共享的 WiFi信息存储在自己的数据库内，如果有黑客侵入，还是会掌握这些信息，给用户带来风险。

WiFi共享软件回应“偷密码”

原理非破解，用户损失可索赔

近日，央视财经频道的一则报道《偷密码的“万能钥匙”》引发网民热议。报道称，名为“WiFi万能钥匙”的免费软件会通过安装者的手机窥探周边的 WiFi 信息，悄悄偷取各类WiFi的密码，从而帮助安装者免费“蹭网”。不仅如此，安装者还能在软件中看到WiFi主人的个人信息。（详情可参考隐私护卫队稍早前报道WiFi 共享软件盗取用户隐私？我们分析了其中的技术原理……）

3月29日晚，WiFi万能钥匙回应称，软件的运行原理是热点共享，不是破解。“我们高度重视本次报道，已成立专门工作小组，继续优化现有产品的流程。”WiFi 万能钥匙在声明中写道。

质疑一：软件偷取他人WiFi密码和流量

央视报道：瞬间，吉庆里小区11号楼以及周边所有的Wi-Fi信号全部显示出来。短短的几秒钟时间，记者就连接上了一个tenda的加密网络。而这个Wi-Fi究竟是谁的？承担什么功能？记者在一无所知的情况下，软件就帮助记者的手机顺利进行了登陆。随即，这个Wi-Fi网络背后的一切，都展示在了记者的面前。

WiFi 万能钥匙回应，软件的运行原理是热点资源共享，不是破解。软件获取的用户信息均在法律法规允许的范围内，还须经过用户同意。为了保护用户的网络安全，WiFi 万能钥匙为每一位用户提供了WiFi安全险，用户或主人因使用软件遭遇财产损失可索赔。

质疑二：借用软件可查看明文WiFi密码

央视报道：如果用户的后台原始密码没有修改的话，输入admin是可以直接进入路由器的后台，看到一些连接人的信息，包括一些黑客可以对银行卡密码这些信息进行盗取，但是这家已经修改了原始密码。

那么这户人家的Wi-Fi密码是多少呢？记者打开Wi-Fi钥匙软件，通过360root工具，获取到root权限后，在Wi-Fi钥匙里就能查看到这家无线Wi-Fi的密码。在手机屏幕上直接显示出，该密码是一个尾号为9835的手机号码。

WiFi 万能钥匙回应，对密码采用128位非对称加密，从不明文显示密码。报道中提及的密码查看功能，是厦门某企业的产品“WiFi钥匙”提供，且此功能需要通过第三方 root 工具获取手机系统管理权限后才能使用。“WiFi钥匙”只是与WiFi 万能钥匙名称近似，二者所属公司并无关联。节目中出现的可明文显示密码的软件均是WiFi 万能钥匙的山寨版，近两年WiFi 万能钥匙已举报下架此类山寨软件1669个。

质疑三：WiFi 未经主人分享即可使用

央视报道：在北京市东城区朝阳门内大街2号的中国银行北京市分行。中国银行的英文名称是bank of china，每个开头字母的缩写是BOC。在中国银行北京市分行的自助柜台机（ATM）旁边，记者打开手机，5秒钟的时间，不仅成功地连接上BOC_CA的无线网络，而且还能看到它的IP地址，子网掩码，路由器等相关信息数据。那么这个刚刚连接上的BOC_CA的无线网络，与中国银行北京市分行有什么关系呢？

工作人员告诉记者， BOC-CA 是这个大楼内银行其它部门的网络。但是，即便是被加密，依然被Wi-Fi万能钥匙和Wi-Fi钥匙两个软件轻松窃取，并予以了连接。

WiFi 万能钥匙称，一直强调由 WiFi热点主人分享热点，并加大查处非热点主人进行分享的力度，也将进一步优化热点分享的取消流程，保护热点主人的权益。

以下为WiFi 万能钥匙声明全文：