小到个人，大到政府机关银行都可以攻破：偷密码的万能钥匙！

去年10月24日，在上海的GeekPwn国际黑客挑战赛现场，各路高手云集，先后攻破40多款主流软硬件产品，移动网络支付不堪一击，智能家居设备一网打尽，安全屏障似乎形同虚设。

现场演示的大部分攻击行为有一个共同前提条件：攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络（俗称内网），从内部发起定向的网络监听和劫持等攻击行为易如反掌。

如果随意把WiFi密码传递给陌生人，形同引狼入室，整个网络就不安全了，恶意攻击者可能轻松盗用存款、偷窥爱情。安全专家建议慎用公共场所提供的WiFi热点，家庭或工作单位WiFi热点仅授权给信任的人，设置的密码要足够复杂，并定期更改密码。总之，在公共场所不要随意“蹭网”，更不要给陌生人“蹭网”机会。

黑客和小偷的得力助手

不幸的是，“WiFi万能钥匙”名曰“热点分享”，鼓动全民“蹭网”。但只要有人使用“WiFi万能钥匙”连接过某WiFi热点，其连接密码——就会被上传到“WiFi万能钥匙”的服务器，随后偷偷散发给附近的其他用户，允许他们在未知连接密码、未获授权的情况下自由接入。

如果家庭或工作单位的WiFi，几乎人人可以获取连接密码，就无所谓信任，这严重威胁家庭和工作单位的封闭网络的安全性，也成为了黑客和小偷的得力助手。

处心积虑诱导“分享”和暴力破解

对于家庭或工作单位WiFi热点，“WiFi万能钥匙”的行为不是分享，而是窃取和出卖。

1、 默认设定为连接后即自动分享热点，且分享前不提示；

2、 若用户更改为禁用自动分享热点，仍会刻意诱导用户分享，并再次默认启用自动分享；

3、 若无法连接，则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”，实质是基于2000个常见的弱密码进行暴力破解；

4、分享热点时绝不核实用户对WiFi热点所有权或控制权，但申请取消分享时反而要求提供路由器控制界面截图并发送邮件。

擅自收集敏感信息

“WiFi万能钥匙”擅自收集以下敏感信息：

1、 用户首次开启时，自动发送注册短信、自动验证并以当前手机号码为用户名自动登录；

2、 收集用户手机识别码、SIM卡识别码和手机无线网卡识别码（MAC）等全部唯一标识，以及所在位置、手机品牌和型号等信息，且均明文传输；

3、 此外，在初始化时收集大量数据加密上传。

明知故犯 文字游戏规避法律责任

《WiFi万能钥匙服务协议》声称：

“热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息。WiFi万能钥匙将按照法律规定予以相应处理。”

“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益，且“WiFi万能钥匙”是主要受益人（攫取巨大商业利益），明显违法侵权在先，却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。

防火，防盗，防“WiFi万能钥匙”

怎么防？办法总比困难多：

1、 杀手锏：启用MAC地址过滤（即使密码正确也无法接入）；

2、定期更改WiFi热点连接密码，使用复杂密码以防暴力破解；

3、启用客户端隔离（大部分在用的家庭无线路由器不支持，建议升级换代）；

4、代客人操作WiFi连接，不告知其密码，以免对方通过“WiFi万能钥匙”连接。