日前,一款名为“wifi万能钥匙”的app被央视曝光,报道称其窃取他人的wifi密码,如囊中探物一般轻松。从个人到商场,从外交大楼到金融重地,万能钥匙统统可以轻松窃取密码。3月29日夜间,wifi万能钥匙紧急回应并致歉,同时表示其运行原理是热点共享不是破解,一旦用户或热点主人因为使用wifi万能钥匙遭遇财产损失,均可进行索赔。
法制晚报·看法新闻记者调查发现,一些同类产品甚至可以做到附近200米所有wifi的密码直接显示。资深网络安全专家王英建告诉记者,自己的wifi一旦被分享出去,就会隐藏着诸多安全隐患,不法分子很有可能对连接同一网络的摄像头和其他智能设备进行控制或攻击。
曝光
偷取他人wifi密码使9亿用户如同裸奔
无线网络是一种能够将个人电脑、手持设备(如pda、手机)等终端以无线方式互相连接的技术。
据央视《经济半小时》报道,无论是安卓手机系统还是苹果手机系统,均可下载一款wifi万能钥匙的免费软件,这款软件借用消费者的手机,会窥探这部手机周边和经过地点所有的wifi信息,悄悄偷取各类wifi的密码信息,在消费者丝毫不知情的情况下,将这些信息传到软件的后台,一切都神不知鬼不觉地完成。
节目中,央视记者在北京展开了一系列的测试,无论是普通居民小区还是一些商业机构,软件都能顺利窃取到这些个人和单位的wifi密码,并顺利连接。
此外,在一些国家行政机关的办公地附近,依旧可以凭借该操作,连接上内部网络系统,包括外交部办公大楼等。央视记者测试后发现,不仅能窃取wifi密码,而且还能通过这个软件看到这个wifi网络后面所有的隐私,称“很多公共机构如同裸奔一般,毫无秘密可言”。
法制晚报·看法新闻记者查阅wifi万能钥匙官网发现,连尚网络旗下产品wifi万能钥匙自称是全球网络共享平台,基于共享经济模式,通过云计算和大数据技术,利用热点主人分享的闲置wifi资源,为用户提供免费、稳定、安全的上网服务。全球9亿用户、223个地区和国家,均可畅连免费wifi。
体验
“wifi密码查看器”可以直接显示用户密码
3月29日下午,法制晚报·看法新闻记者使用一部新手机下载了央视报道的这款“wifi万能钥匙”app。在安装时记者注意到该应用需要“读取手机状态和身份、读取通话记录、通讯录、获取系统已知账户、基于gps的精准位置、拍摄照片和视频”等12项权限。
初次打开wifi万能钥匙应用,在欢迎界面右下角有一行非常小的蓝色字体《wifi万能钥匙用户协议》,点击立即体验时,就等同你认同了该用户协议。
而wifi万能钥匙在这个用户协议当中,有一项隐私政策的声明,里面描述了“它会如何收集和使用消费者的个人信息及其他信息”,这些信息包括最基本的用户使用手机的设备信息;使用服务器的ip地址;gps定位等等。而最为关键的一点是wifi万能钥匙需要共享、转让、公开披露用户的个人信息。
在wifi万能钥匙个人中心设置栏目,记者发现“取消热点分享”选项,其介绍中称,wifi万能钥匙希望构建一个互帮互助、和衷共济的热点共享平台让免费上网有机会成所有人的权利。
如果用户确实需要取消热点分享,平台提供了两个方式:1、修改路由器密码阻止所有访客连接热点。2、填写热点ssid的名称、热点的密码、路由器mac的地址。并要拍摄路由器的背面外观,最终这一切繁碎的内容都填写完后,还要提交申请等待wifi万能钥匙的审核。等待平台同意后,才能取消分享。
随后,记者来到位于大兴区一大型住宅小区内,关闭手机的4g信号。此时,打开wifi万能钥匙app,该小区4号楼及周边显示有22个wifi信号,记者先后点击一个名称为cu-6mub和401的wifi名称,均可正常连接并流畅上网。
记者在调查中发现,此类提供免费wifi的应用仅在腾讯应用宝上就有50余个。在微信小程序中,一款名为“wifi密码查看器”的程序,不但可以一键解锁附近的wifi密码还可以做到附近200米所有wifi的密码直接显示。
记者在龙源文化创意园附近实测,一个wifi名为“tp-lnk—xxe6”的热点,显示密码为jing*****,当记者走到信号区域内,便很轻松地用软件连接上该网络。
在wifi环境中,该程序自动搜索并显示出最近的用户名和密码。
回应
发表声明致歉称app的运行原理是热点共享不是破解
3月29日下午,记者向wifi万能钥匙求证,工作人员登记完问题后称,“将由相关同事统一回复”。几个小时后,wifi万能钥匙在其官网发表声明并致歉。
“对于给各界造成的困扰我们表示诚恳歉意”,在声明中wifi万能钥匙首先进行了致歉。同时其回应称,该app的运行原理是热点共享不是破解,是通过wifi热点资源共享的方式,让用户便捷连接,安全上网。对于报道中提及的密码查看功能,是厦门某企业的产品“wifi钥匙”提供,并非该公司产品,只是名字近似,央视报道中出现可明文显示密码的均为山寨wifi万能钥匙的产品。
wifi万能钥匙强调,为每一位用户提供了免费的wifi安全险,一旦用户或热点主人因为使用wifi万能钥匙遭遇财产损失,均可进行索赔。声明最后,wifi万能钥匙表示公司已成立专门工作小组,继续优化现有产品的流程,保护热点主人权益。
专家
分享者和蹭网者均存风险
资深网络安全专家王英建告诉记者,wifi钥匙类软件的机制是共享和分享,核心是互换,假如你安装了这类软件,并用其来连接家里的wifi,在你同意分享热点的情况下,你的wifi名称和密码则被存入了wifi万能钥匙建立的一个数据库。同样情况下,其他用户也使用了这款app把他的wifi用户名和密码存入了这个数据库。而当你到朋友家里时,连接了朋友的wifi,也把朋友的wifi用户名和密码上传。同样的,公司用的办公wifi也如出一辙被添加到了这个数据库里。
就这样,该类软件建立起了信息的庞大数据库。每当你位于那些上传过用户名和密码的wifi热点覆盖区域时,你手机上的万能钥匙就开始在这个数据库里找这个热点的密码,并推送给你消息,告知你附近有可用的免费热点。一旦你确认要进行连接,“万能钥匙”就会自动让你的手机连上该热点,你就有了免费wifi。
王英建告诉记者,自己的wifi一旦被分享出去,就会隐藏着诸多安全隐患,不法分子很有可能对连接同一网络的摄像头和其他智能设备进行控制或攻击。
“如果你连接到我们家的网络后,家里的网络端口——路由器有可能被管理,因为内网默认是安全,理论上连接该网络的所有智能设备都有可能被控制,包括摄像头和智能门锁”。王英建说,由于wifi信号有覆盖范围,这使得不法分子可能更精准地锁定攻击目标。“你想想如果攻击者就在你附近,或者就是你邻居……”
如果说,“被链接”有风险,那么蹭网的“连接者”是否也有风险呢?王英建告诉记者,连接不明的wifi风险也是显而易见的,轻者信息遭到泄露,严重者可能手机被控制,支付遭到严重威胁。
wifi万能钥匙的企业愿景是让全世界人民免费上网,但北京市法学会电子商务法治研究会会长邱宝昌说,要经过消费者同意,不同意你不能默认消费者同意了,法律上有明确规定,涉及到信息应该怎样去保存呢,你要保存你所收集的信息,不得用于一种商业交易,并且你还要注意到你收集的信息,有可能泄露的时候要加强技术手段,对于涉及到国家主权国家信息安全的,不是你能收集的,那你是刺探情报,那就是泄露国家秘密。泄露国家机密、贩卖个人信息的、窃取他人商业秘密的,要依法依规地打击。
3月30日上午,记者向工业和信息化部12321举报中心举报,工作人员已登记受理。