5 张图告诉你 WIFI 共享软件是怎么“偷”你密码的

 

昨天 ,朋友到机哥家做客。

落座就问,你家 WiFi 密码是?——这种情况很常见。

不常见的是,每次,机哥都会确认下客人手机有没装 "WiFi 钥匙 " 之类的软件。

有的话,对不起,卸掉,我再告诉你 WiFi 密码。

为什么?今天正好看到南都大数据研究院下的 " 隐私护卫队 " 这篇文章,各位机友看完就知道为什么了。

近日,"WiFi 万能钥匙 " 和 "WiFi 钥匙 " 两款免费 Wi-Fi 连接 APP 被央视报道质疑窃取用户 Wi-Fi 密码。随后,两家公司均称,软件运行原理是热点共享,并未盗取用户 WIFI 密码。

双方各执一词,真相究竟为何?在工信部宣布将调查相关 APP 同时,隐私护卫队也对此进行了一次实验。

Wi-Fi 密码

可能在你并不知情的情况下就分享了

首先,隐私护卫队在一部安卓手机(简称手机 1)上安装了一款叫做 "WIFI 万能密码钥匙 "APP,点击打开后,不需要登录,就显示出附近的几个 WIFI。

附近的 Wi-Fi 信息

隐私护卫队点击其中自己常用的名为 "ND-JY",输入密码并连接。

隐私护卫队并不知道自己刚刚输入的密码被储存在了哪里,将会做什么用。接着隐私护卫队用另一部恢复了出厂设置的安卓手机(简称手机 2)也下载了 "WIFI 万能密码钥匙 ",并点击打开。

可以看到,刚刚在手机 1 中连接过的 WIFI 已经自动显示在最上方,并标注了 " 免密码 " 提示。

隐私护卫队点击连接后,WIFI 便自动连接,不需要输入密码。这意味着,这一 WIFI 的密码已经通过手机 1 存储便上传,此后所有下载 "WIFI 万能密码钥匙 " 的用户都能够无需密码,自动登录。

令人担忧的是,隐私护卫队从头到尾既没有登录,亦没有同意过共享自己的 WIFI 密码,但密码就已经在我并不知情的情况下被共享给了所有人。

接着隐私护卫队点击手机 1APP 中的 WIFI 密码分享页面,发现分享选项被默认勾选,也就是说,你已经被动地同意了共享所有你填写过的密码。

北京益安在线的网络安全专家王刚告诉隐私护卫队,如果用户安装了 "WIFI 共享软件 ",所使用的 Wi-Fi 信息就会被上传到服务器,陌生人使用同样的 Wi-Fi 软件即可连接网络,此时陌生人已经和你在一个局域网内,同一个局域网很危险,相当于我就在你家里上网了。对方如果稍懂技术,你的 IP 地址,手机型号、电脑等信息都可能泄露,还可能遭到中间人攻击,获取你所访问的页面用户名及密码等信息,甚至还能操控你家里的电视机等联网设备等。"

" 对于企业用户而言,同样存在安全隐患 ",王刚举例说 , 当有陌生人连接了企业的网络,等于是已经渗透(攻击)到局域网,如果有电脑的文件共享或者利用系统漏洞入侵网络,那么陌生人则可以轻松窃取文件,造成企业的内部信息泄露。

隐私护卫队注意到,被央视报道点名的两款 APP 迅速回应称,APP 本身不具备密码破解功能,而是通过用户主动共享 Wi-Fi 信息实现功能。"WiFi 万能钥匙 " 还表示,获取信息均在法律允许范围内,还需经用户同意。

作为一名信息安全从业人员,王刚很早就开始关注 Wi-Fi 共享领域。他表示,免费 Wi-Fi 连接 APP 的问题在于,用户上传 Wi-Fi 密码,并不一定是主动分享。虽然每款 APP 都有所不同,但他使用过多款发现,70%-80% 的软件是让用户被动分享的。

早期的一些 Wi-Fi 软件版本做得更为隐蔽。用户甚至不知道 Wi-Fi 分享功能在哪里,和读取通讯录等手机权限一样,软件厂商直接获取后,就在后台运行了。而用户想要取消分享更是困难,基本找不到明确的指引操作。

一半存漏洞

这种情况是个案吗?

10 款中有 5 款默认分享

实际上,隐私护卫队不止测试了这一款 APP,4 月 3 日,我们以 "WiFi" 为关键词,在 Android 平台上下载了排名靠前的 10 款免费 Wi-Fi 连接 APP,其中包括前述被点名的 "WiFi 万能钥匙 ""WiFi 钥匙 ",其余 8 款 APP 的提供商既有腾讯、360 等大型互联网公司,也有其它名不见经传的软件开发公司。

隐私护卫队通过实测发现,10 款受测 APP 中,有一半存在授权漏洞,未给予用户充分的知情选择权。

10 款 app 实测结果

在这些 APP 的 WIFI 密码分享页面中,有 5 款 APP 默认勾选 Wi-Fi 密码分享选项,其中 3 款甚至以奖励的方式引导用户分享。比如," 平安 WiFi" 称 " 分享 Wi-Fi 得奖励 ";"WiFi 万能密码钥匙 " 和 "360 免费 WiFi" 则直接打出奖励内容,前者可获得 300 积分,后者直言 " 分享能赚 300 金币 "。

360 免费 wifi 的分享页面

Wi-Fi 万能钥匙的分享页面。

比引导分享更值得警惕的是,首次使用便直接默认开启 Wi-Fi 密码分享,比如此前描述的 " 万能 WiFi 钥匙 " 的 APP,用户在毫不知情的情况下就已经将自己的 WIFI 密码上传后台,公开供大家使用。

而进入另一款 " 万能 WiFi 连接钥匙 "APP 的设置页面后,隐私护卫队被直接提示输入热点名称和密码,没有任何风险提示及勾选框。此外,该 APP 还有 Wi-Fi 参数查询功能,Wi-Fi 名称、IP 地址、MAC 地址、网关一览无余。在被央视点名后,"WiFi 钥匙 " 已经下架相关功能,但 " 万能 WiFi 连接钥匙 " 仍可查看密码。

万能 WiFi 连接钥匙可查看密码

试想,如果用户的 Wi-Fi 密码,正好是其手机号或生日等个人信息,无形中个人隐私也随之泄露了。

从隐私护卫队的实测结果看,用户对 Wi-Fi 密码的共享行为,并非完全主动知情。换句话说,不少免费 Wi-Fi 连接 APP 主动收集用户输入的密码,或者引导用户分享密码;即使小部分表示得较为 " 收敛 ",给予了用户相应的选择权,也没有充分告知可能存在的风险。

更可怕的是,即便 Wi-Fi 主人的安全意识较强,未使用过任何蹭网软件,也难逃外来干扰。网络安全专家王刚就曾遇到过这样的事:亲戚朋友来家里做客,因为手机里装有 Wi-Fi 共享软件,一连上他家网络,密码就被共享出去了。

Wi-Fi

共享软件的 " 擦边球 "

《网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。将于 5 月 1 日起实施的,《个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。具体表现在免费 Wi-Fi 连接 APP 上,即在用户使用 APP 之前,应明确提示 Wi-Fi 信息将被如何收集、使用和共享。

上述 APP 究竟保证用户的充分知情了吗?

隐私护卫队查阅上述 10 款软件的隐私条款发现,有 3 款 APP 未提供任何协议,分别是万能 "WiFi 连接钥匙 "" 万能 WiFi 钥匙 " 和 "WiFi 万能密码钥匙 ",这意味着,它们完全无视用户的知情权便可能收集了用户包括 WIFI 密码在内的个人信息。

其余 APP 虽然有隐私协议,但直接将用户同意授权分享 Wi-Fi 密码写进了隐私条款里,一揽子打包。

"WiFi 伴侣 "WiFi 钥匙 " 和 " 平安 WiFi" 的隐私条款里均提到,用户点击选择 "√" 或 " 登录 " 即同意共享 Wi-Fi 密码给其它用户、同意 APP 自动采用路由器账号,以及默认开启自动分享已连接热点的开关(可在设置页改变开关状态)。与此相对应,它们还不忘积极免责,称非 Wi-Fi 主人请勿使用此功能,否则后果自行承担。

这种在冗长的隐私政策里 " 藏下 " 几条相关内容的方法实际上也并未保证用户的知情权。更为妥当的做法是,在 WIFI 密码分享页面提供合理的分享功能说明,并默认不开启。

然而,隐私护卫队发现,即使在最核心的 Wi-Fi 密码分享页面,也只有 3 款 APP 提供了声明,而且内容更像是免责条款。

比如 "WiFi 管家 " 在《功能分享》中提及,用户应当保证分享、提交的信息系真实、准确、有效、安全,且有权对相关信息进行分享、提交,不会造成其他用户对公共 Wi-Fi 的误认,亦不会侵犯他人的合法权益。"WiFi 万能钥匙 " 的《热点互助共享计划》要求,用户不得将具有不法目的的 Wi-Fi 热点进行分享。" 平安 WiFi" 则干脆表示,不对共享 Wi-Fi 的真实安全性等作出承诺和保证。

由此可见,在这个由 Wi-Fi 网络拥有者、提供 Wi-Fi 共享服务的运营者和用户三方构成的格局中,最大的受害者无疑是网络拥有者。王刚表示," 毕竟是自己花钱装的 Wi-Fi,有人蹭网不仅影响网速,还可能埋下信息安全隐患。"

小心

工信部提醒:谨慎使用蹭网类 app

诚如很多 Wi-Fi 共享企业在隐私条款里提到的,平台并不自行创造内容,仅承担存储者的角色,所有数据内容均由用户主动上传。但基于 " 用户主动上传的知情选择权有多大 "," 平台庞大的密码数据库里,是否为 Wi-Fi 主人自行分享 " 等原因,Wi-Fi 共享软件备受质疑。

有专家认为,这些争议背后反映出,目前国内软件市场上的各类软件对用户个人隐私信息的收集和保护仍存在不规范之处,包括默认勾选同意授权,过度收集用户个人信息,又未明确告知等问题。这不仅违背了基本的知情同意原则,还涉嫌对个人信息构成侵权。

隐私护卫队发现,在被点名后,3 月 30 日,Wi-Fi 万能钥匙新修订了隐私权政策,增加了收集用户信息及其用途的说明,明确指出当用户使用 " 连接热点 "、" 钱包 " 等功能时,所需要提供的哪些个人信息及使用目的。并表示,仅会基于合法目的分享您的个人信息及其他信息,同时采用包括内容替换、匿名处理方式对用户信息进行脱敏,以保护个人信息及其他信息的安全。

4 月 3 日,工信部发布通报称,近日组织专业机构对被疑 " 偷密码 " 的移动应用程序 "WiFi 万能钥匙 " 和 "WiFi 钥匙 " 进行了技术分析,发现两款移动应用程序具有共享用户所登录 Wi-Fi 网络密码等信息的功能。两款应用程序还将接受所在地通信管理局的进一步调查。同时工信部也提醒用户,谨慎使用这类蹭网软件。

网络安全专家王刚告诉南都记者,为避免 Wi-Fi 共享软件可能带来的风险,最直接和有效的措施是经常修改 Wi-Fi 密码。

他建议,在用户下载 APP 前,Wi-Fi 共享软件厂商应在应用商店,提供相关的提示说明,让用户决定是否安装。在用户下载后还应保证其知情权,告诉用户分享 Wi-Fi 后,会自动上传 Wi-Fi 名称、密码、地址等信息,及可能存在的风险,让用户作出明确的同意。

原网页已经由 ZAKER 转码以便在移动设备上查看

评论