免费的“蹭网神器”坑人的泄密黑洞
“蹭网”软件的工作原理是:用户A通过它连上某个WiFi并输入密码,这类软件就在后台存下WiFi的名字、IP和密码等信息,当用户B相连同一个WiFi时,软件就可以调用后台存储信息帮助其直接登录。也就是说,只要通过这类APP连网,就等同于交出了自己的网络密码。
■ 本报记者 陈树琛
当不少人在为套餐流量不够用而精打细算时,如果有一个随时随地能够免费上网的软件摆在面前,无疑是难以抗拒的。然而,天下没有免费的午餐,免费上网的代价可能就是你的个人信息被窃取。
4月3日,工信部发布通报称,“WiFi万能钥匙”和“WiFi钥匙”等移动应用程序,在向用户免费提供使用他人WiFi网络的功能的同时,涉嫌入侵他人WiFi网络和窃取用户个人信息,已要求上海市、福建省通信管理局开展调查、处理工作,维护广大网民的合法权益。
“蹭网神器”遭质疑,“万能钥匙”成黑洞
不久前,央视一则《偷密码的“万能钥匙”》报道引起广泛关注。工作人员安装“WiFi万能钥匙”和“WiFi钥匙”两款APP后,在北京多个地方成功连接陌生人家的WiFi,其中既有居民区、商场、餐厅、咖啡店,也有政府部门和办公场所等。
基于共享网络资源的极大便利,类似“蹭网”APP成为很多人的“装机必备”。据“WiFi万能钥匙”官网介绍,APP上线后不到4年,总用户量就突破了9亿,月活跃用户数超过5.2亿。
4月4日,记者在安卓和苹果的手机应用程序商店均发现,仅仅搜索“WiFi”字样,“WiFi万能钥匙”“WiFi钥匙”就会随即出现在提示栏中。在多款应用列表中,“WiFi万能钥匙”等应用均排在前几位。其中有APP在功能介绍栏目中写道“一键连接,极速上网”“十亿热点覆盖全球,随时随地一键联网”;还有APP在产品介绍中号称,“通过地理定位,自动搜索周边商家WiFi,已累计覆盖了全国超过1亿的WiFi热点”,部分操作系统能够直接在软件内一键连接WiFi。
然而,相比于免费上网的吸引力,很多用户对于分享WiFi信息可能带来的安全隐患并无概念。其实,上述两款APP在消费者丝毫不知情的情况下,窃取并存储WiFi名、密码等信息,涉嫌入侵他人WiFi网络以及窃取用户个人信息。更让人忧虑的是,通过“WiFi钥匙”软件,可以直接查看相关密码,更可以进入路由器后台,查看手机号、微信号甚至银行卡密码,尤其是很多重要政府机关、金融机构的WiFi密码和后台数据均能被轻松查看。
“原本还为免费上网而沾沾自喜,没想到竟然是个泄密黑洞。吓得我赶紧把软件卸载了。 ”合肥白领张玉玉在微博上的一段话,引发了不少网友的共鸣。 “用‘万能钥匙\’联网,第一感觉有点像‘神器\’,但之后又隐隐有些担心,APP功能这么强大,能破解别人的软件,自己的密码会不会也不安全? ”张玉玉向记者坦言。
针对“蹭网”类移动应用程序可能存在的风险,工信部在通报中特别提醒:WiFi网络提供者应谨慎共享自己的WiFi网络,并定期更换WiFi网络密码;WiFi网络使用者应增强安全上网意识,谨慎使用WiFi“蹭网”类移动应用程序。
“热点分享”存乱象,网络密码被“拿走”
专家介绍说,“蹭网”软件的工作原理非常简单:通过用户对已知密码WiFi的分享,让其他用户也可以免费蹭网,“蹭网”软件再根据用户使用偏好、位置等信息,或推送广告,或为商户导流,以获得商业利益。
“这类软件打着‘分享\’旗号,放大了个人信息安全风险隐患。 ”合肥工业大学互联网安全专家朱家富告诉记者,多款类似的“蹭网”软件其实是安装在手机上以后,把用户手机上曾经连接的记录上传到服务器上。不管用户曾在哪里连接过哪些无线热点,配置文件都写在手机上,而只要用户手机安装了这类软件,网络连接的配置文件也就被上传了。 “这也意味着,这个用户连接过的单位网络,或者公共WiFi,都可以被软件‘拿走\’共享;通过这样的方式,软件就可以源源不断地把不同用户上传过的资源都积累到自己手里,再‘分享\’给其他人使用。 ”
多名技术专家也向记者证实,手机系统中有个专门存储WiFi密码的文件,只要获得ROOT权限(系统权限的一种,也叫根权限),就可以查看系统中存储的已成功连接过的WiFi密码。免费WiFi连接APP的技术原理可以简单理解为,用户A通过APP连接某个WiFi并输入密码,APP在后台存下WiFi的名字、IP和密码等信息;当用户B搜到同一个WiFi时,即使不输入密码,APP也可以通过调用后台存储的信息,帮助用户B直接登录。
朱家富进一步分析,“陌生人通过‘蹭网\’软件和你进入同一个局域网,就相当于在你家上网。对方如果稍懂技术,你的IP地址、手机型号、电脑等信息都可能泄露,甚至你家里的电视机等联网设备等都可能被操控。 ”同理,对企业来说,员工使用此类APP也可能导致企业内部信息被泄露。
日常生活中,很多人为记忆方便会将不同的账号设置成同样的密码,而且很多账号与手机号相关联,一旦用户的密码被“共享”乃至公开后,无疑会导致其重要个人信息处于“裸奔”状态,其隐私信息可能被利用,账号秘密及相关财产可能被窃取。 “也就是说,在免费获得别人资源的时候,也‘出卖\’了自己,因为使用类似的软件,你连过自己家里的网络,朋友的网络,单位的网络,这些信息很可能也都被上传了。 ”
更为严重的是,网络上始终存在恶意窃取他人信息的“黑手”,不排除有人通过搭建WiFi来故意吸引别人 “连接”,其他用户在连接的时候,这些别有用意的系统可以设计一个陷阱,实现对连接设备访问的“监听”,对连接设备部分数据采取技术手段破解,进而实施诈骗等违法行为。
“用户同意”成幌子,“默认勾选”是个“坑”
在被工信部点名后,“WiFi万能钥匙”和“WiFi钥匙”迅速回应称,APP本身不具备密码破解功能,而是通过用户主动共享WiFi信息实现功能。“WiFi万能钥匙”还表示,获取信息均在法律允许范围内,并需经用户同意。但记者调查发现,用户对已知密码WiFi的共享行为并不完全是主动的,很多时候都是在不完全知情的情况下被动选择了“默认勾选”,导致出现泄密现象。
供职于一家互联网安全机构的技术人员黄立章对安卓平台上6款“万能钥匙”类的WiFi共享类软件检测后发现,有3款软件在用户首次连接WiFi时,密码分享选项被默认勾选;有5款软件在断开共享WiFi后,密码仍留存在本地,其中2款软件可供直接查看WiFi密码,同时有两款软件具备弱密码猜解功能。 “这就意味着,用户在无意的情况下使用这些软件登录无线网,这一网络就被默认分享了,若网络中存在未保护的文件内容或其他敏感资源,后果难以想象。 ”黄立章说。
事实上,围绕数据收集方法、数据安全管理以及是否存在窃取个人隐私等批评,从“蹭网”软件诞生之初起就从未间断。在某问答社交平台上,有用户直言“采用默认勾选的方式共享热点是一种‘流氓行为\’”,获得了7千多点赞。
“以‘共享\’为名,行‘偷\’密码之实,这种行为无疑侵犯了用户的合法权益。”安徽相和律师事务所资深律师乔丹指出,姑且不论具体技术方案是否违规,单从近年来媒体报道来看,有的WiFi账号未经允许被分享出去,导致个人权益受损;有的用户一时不慎连接不安全信号,导致个人信息泄露和垃圾短信轰炸。甚至一些国家机关的内部网络被泄露,由此产生巨大“安全黑洞”,亟待高度关注。
有专家形象地将目前消费者个人信息被侵犯的环境比喻为 “温水煮青蛙”。在企业大量不同程度地违法收集使用个人信息的环境中,消费者不但难以知晓有哪些规范能够支持自己维权,甚至都难以知晓自己是否已被侵权。
乔丹律师建议,一方面要加快推进个人隐私保护立法;另一方面相关部门也要及时亮剑,对“默认勾选”等行为进行严格管控,对用户隐私协议中是否有语焉不详、霸王条款等进行专项整治,避免消费者权益再受损害。
新闻推荐
本报讯日前,蜀山区审计局一行来我区考察交流审计工作。座谈会上,两局汇报了近期工作完成情况及工作亮点、建议,就如何进一步提高购买的社会审计服务质量、健全审计力量聚合和使用机制、探索审计...
合肥新闻,新鲜有料。可以走尽是天涯,难以品尽是故乡。距离合肥再远也不是问题。世界很大,期待在此相遇。