5张图告诉你WIFI共享软件是怎么“偷”你WIFI密码的

近日,“WiFi万能钥匙”和“WiFi钥匙”两款免费Wi-Fi连接APP被央视报道质疑窃取用户Wi-Fi密码。随后,两家公司均称,软件运行原理是热点共享,并未盗取用户WIFI密码。

双方各执一词,真相究竟为何?在工信部宣布将调查相关APP同时,隐私护卫队也对此进行了一次实验。

Wi-Fi密码

可能在你并不知情的情况下就分享了

首先,隐私护卫队在一部安卓手机(简称手机1)上安装了一款叫做“WIFI万能密码钥匙”APP,点击打开后,不需要登录,就显示出附近的几个WIFI。

附近的Wi-Fi信息

隐私护卫队点击其中自己常用的名为“ND-JY”,输入密码并连接。

隐私护卫队并不知道自己刚刚输入的密码被储存在了哪里,将会做什么用。接着隐私护卫队用另一部恢复了出厂设置的安卓手机(简称手机2)也下载了“WIFI万能密码钥匙”,并点击打开。

可以看到,刚刚在手机1中连接过的WIFI已经自动显示在最上方,并标注了“免密码”提示。

隐私护卫队点击连接后,WIFI便自动连接,不需要输入密码。这意味着,这一WIFI的密码已经通过手机1存储便上传,此后所有下载“WIFI万能密码钥匙”的用户都能够无需密码,自动登录。

令人担忧的是,隐私护卫队从头到尾既没有登录,亦没有同意过共享自己的WIFI密码,但密码就已经在我并不知情的情况下被共享给了所有人。

接着隐私护卫队点击手机1APP中的WIFI密码分享页面,发现分享选项被默认勾选,也就是说,你已经被动地同意了共享所有你填写过的密码。

北京益安在线的网络安全专家王刚告诉隐私护卫队,如果用户安装了“WIFI共享软件”,所使用的Wi-Fi信息就会被上传到服务器,陌生人使用同样的Wi-Fi软件即可连接网络,此时陌生人已经和你在一个局域网内,同一个局域网很危险,相当于我就在你家里上网了。对方如果稍懂技术,你的IP地址,手机型号、电脑等信息都可能泄露,还可能遭到中间人攻击,获取你所访问的页面用户名及密码等信息,甚至还能操控你家里的电视机等联网设备等。”

“对于企业用户而言,同样存在安全隐患”,王刚举例说,当有陌生人连接了企业的网络,等于是已经渗透(攻击)到局域网,如果有电脑的文件共享或者利用系统漏洞入侵网络,那么陌生人则可以轻松窃取文件,造成企业的内部信息泄露。

隐私护卫队注意到,被央视报道点名的两款APP迅速回应称,APP本身不具备密码破解功能,而是通过用户主动共享Wi-Fi信息实现功能。“WiFi万能钥匙”还表示,获取信息均在法律允许范围内,还需经用户同意。

作为一名信息安全从业人员,王刚很早就开始关注Wi-Fi共享领域。他表示,免费Wi-Fi连接APP的问题在于,用户上传Wi-Fi密码,并不一定是主动分享。虽然每款APP都有所不同,但他使用过多款发现,70%-80%的软件是让用户被动分享的。

早期的一些Wi-Fi软件版本做得更为隐蔽。用户甚至不知道Wi-Fi分享功能在哪里,和读取通讯录等手机权限一样,软件厂商直接获取后,就在后台运行了。而用户想要取消分享更是困难,基本找不到明确的指引操作。

一半存漏洞

这种情况是个案吗?

10款中有5款默认分享

实际上,隐私护卫队不止测试了这一款APP,4月3日,我们以“WiFi”为关键词,在Android平台上下载了排名靠前的10款免费Wi-Fi连接APP,其中包括前述被点名的“WiFi万能钥匙”“WiFi钥匙”,其余8款APP的提供商既有腾讯、360等大型互联网公司,也有其它名不见经传的软件开发公司。

隐私护卫队通过实测发现,10款受测APP中,有一半存在授权漏洞,未给予用户充分的知情选择权。

10款app实测结果

在这些APP的WIFI密码分享页面中,有5款APP默认勾选Wi-Fi密码分享选项,其中3款甚至以奖励的方式引导用户分享。比如,“平安WiFi”称“分享Wi-Fi得奖励”;“WiFi万能密码钥匙”和“360免费WiFi”则直接打出奖励内容,前者可获得300积分,后者直言“分享能赚300金币”。

360免费wifi的分享页面

Wi-Fi万能钥匙的分享页面。

比引导分享更值得警惕的是,首次使用便直接默认开启Wi-Fi密码分享,比如此前描述的“万能WiFi钥匙”的 APP,用户在毫不知情的情况下就已经将自己的WIFI密码上传后台,公开供大家使用。

而进入另一款“万能WiFi连接钥匙”APP的设置页面后,隐私护卫队被直接提示输入热点名称和密码,没有任何风险提示及勾选框。此外,该 APP 还有 Wi-Fi参数查询功能,Wi-Fi 名称、IP 地址、MAC 地址、网关一览无余。在被央视点名后,“WiFi 钥匙”已经下架相关功能,但“万能 WiFi 连接钥匙”仍可查看密码。

万能 WiFi 连接钥匙可查看密码

试想,如果用户的Wi-Fi密码,正好是其手机号或生日等个人信息,无形中个人隐私也随之泄露了。

从隐私护卫队的实测结果看,用户对Wi-Fi密码的共享行为,并非完全主动知情。换句话说,不少免费Wi-Fi连接APP主动收集用户输入的密码,或者引导用户分享密码;即使小部分表示得较为“收敛”,给予了用户相应的选择权,也没有充分告知可能存在的风险。

更可怕的是,即便Wi-Fi主人的安全意识较强,未使用过任何蹭网软件,也难逃外来干扰。网络安全专家王刚就曾遇到过这样的事:亲戚朋友来家里做客,因为手机里装有Wi-Fi共享软件,一连上他家网络,密码就被共享出去了。

Wi-Fi

共享软件的“擦边球”

《网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。将于5月1日起实施的,《个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。具体表现在免费Wi-Fi连接APP上,即在用户使用APP之前,应明确提示Wi-Fi信息将被如何收集、使用和共享。

上述APP究竟保证用户的充分知情了吗?

隐私护卫队查阅上述10款软件的隐私条款发现,有3款APP未提供任何协议,分别是万能“WiFi连接钥匙”“万能WiFi钥匙”和“WiFi万能密码钥匙”,这意味着,它们完全无视用户的知情权便可能收集了用户包括WIFI密码在内的个人信息。

其余APP虽然有隐私协议,但直接将用户同意授权分享Wi-Fi密码写进了隐私条款里,一揽子打包。

“WiFi伴侣“WiFi钥匙”和“平安WiFi”的隐私条款里均提到,用户点击选择“√”或“登录”即同意共享Wi-Fi密码给其它用户、同意APP自动采用路由器账号,以及默认开启自动分享已连接热点的开关(可在设置页改变开关状态)。与此相对应,它们还不忘积极免责,称非Wi-Fi主人请勿使用此功能,否则后果自行承担。

这种在冗长的隐私政策里“藏下”几条相关内容的方法实际上也并未保证用户的知情权。更为妥当的做法是,在WIFI密码分享页面提供合理的分享功能说明,并默认不开启。

然而,隐私护卫队发现,即使在最核心的Wi-Fi密码分享页面,也只有3款APP提供了声明,而且内容更像是免责条款。

比如“WiFi管家”在《功能分享》中提及,用户应当保证分享、提交的信息系真实、准确、有效、安全,且有权对相关信息进行分享、提交,不会造成其他用户对公共Wi-Fi的误认,亦不会侵犯他人的合法权益。“WiFi万能钥匙”的《热点互助共享计划》要求,用户不得将具有不法目的的Wi-Fi热点进行分享。“平安WiFi”则干脆表示,不对共享Wi-Fi的真实安全性等作出承诺和保证。

由此可见,在这个由Wi-Fi网络拥有者、提供Wi-Fi共享服务的运营者和用户三方构成的格局中,最大的受害者无疑是网络拥有者。王刚表示,“毕竟是自己花钱装的Wi-Fi,有人蹭网不仅影响网速,还可能埋下信息安全隐患。”

小心

工信部提醒:谨慎使用蹭网类app

诚如很多Wi-Fi共享企业在隐私条款里提到的,平台并不自行创造内容,仅承担存储者的角色,所有数据内容均由用户主动上传。但基于“用户主动上传的知情选择权有多大”,“平台庞大的密码数据库里,是否为Wi-Fi主人自行分享”等原因,Wi-Fi共享软件备受质疑。

有专家认为,这些争议背后反映出,目前国内软件市场上的各类软件对用户个人隐私信息的收集和保护仍存在不规范之处,包括默认勾选同意授权,过度收集用户个人信息,又未明确告知等问题。这不仅违背了基本的知情同意原则,还涉嫌对个人信息构成侵权。

隐私护卫队发现,在被点名后,3月30日,Wi-Fi万能钥匙新修订了隐私权政策,增加了收集用户信息及其用途的说明,明确指出当用户使用“连接热点”、“钱包”等功能时,所需要提供的哪些个人信息及使用目的。并表示,仅会基于合法目的分享您的个人信息及其他信息,同时采用包括内容替换、匿名处理方式对用户信息进行脱敏,以保护个人信息及其他信息的安全。

4月3日,工信部发布通报称,近日组织专业机构对被疑“偷密码” 的移动应用程序“WiFi万能钥匙”和“WiFi钥匙”进行了技术分析,发现两款移动应用程序具有共享用户所登录Wi-Fi网络密码等信息的功能。两款应用程序还将接受所在地通信管理局的进一步调查。同时工信部也提醒用户,谨慎使用这类蹭网软件。

网络安全专家王刚告诉南都记者,为避免Wi-Fi共享软件可能带来的风险,最直接和有效的措施是经常修改Wi-Fi密码。

他建议,在用户下载APP前,Wi-Fi共享软件厂商应在应用商店,提供相关的提示说明,让用户决定是否安装。在用户下载后还应保证其知情权,告诉用户分享Wi-Fi后,会自动上传Wi-Fi名称、密码、地址等信息,及可能存在的风险,让用户作出明确的同意。

报料请点击E隐私投诉小程序

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180405G0H8L700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券