蹭网APP:偷偷的把你家Wi-Fi变成公共网络!

2018-04-08 17:49 出处:其他 作者:PConline 责任编辑:wuyiying1

  【PConline资讯】近日,“WiFi万能钥匙”和“WiFi钥匙”两款免费Wi-Fi连接APP被质疑窃取用户Wi-Fi密码。Wi-Fi共享软件能让用户发现并连接周边的Wi-Fi,无需知道密码就能“蹭网”。记者调查发现,免费、便捷上网的背后,隐含着极大的安全风险。

2

  4月3日,记者实测10款下载量靠前的免费Wi-Fi连接APP发现,五成APP默认开启“共享Wi-Fi信息”,有的甚至还可查看明文Wi-Fi密码,而几乎没有平台明确告知用户,共享Wi-Fi可能存在的安全隐患。而身为Wi-Fi主人的你,不仅难以察觉,还可能被人泄露隐私。

  这些APP真的会窃取Wi-Fi密码?

  不久前,央视一则《偷密码的“万能钥匙”》报道引起广泛关注。记者安装“WiFi万能钥匙”和“WiFi钥匙”两款APP后,在北京多个地方成功连接陌生人家的Wi-Fi,其中既有居民区、商场、餐厅、咖啡店,也有政府部门和办公场所等。

  基于共享网络资源的极大便利,类似“蹭网”APP成为很多人的“装机必备”。据“WiFi万能钥匙”官网介绍,APP上线后不到4年,总用户量就突破了9亿,月活跃用户数超过5.2亿。

  然而,相比于免费上网的吸引力,很多用户对于分享Wi-Fi信息可能带来的安全隐患并无概念。央视报道质疑,上述两款APP在消费者丝毫不知情的情况下,窃取并存储Wi-Fi名、密码等信息,涉嫌入侵他人Wi-Fi网络以及窃取用户个人信息。

  多名技术专家也向记者证实,安卓系统中有个专门存储Wi-Fi密码的文件,只要获得ROOT权限就可以查看系统中存储的已成功连接过的Wi-Fi密码。免费Wi-Fi连接APP的技术原理可以简单理解为,用户A通过APP连接某个Wi-Fi并输入密码,APP在后台存下Wi-Fi的名字、IP和密码等信息;当用户B搜到同一个Wi-Fi时,即使不输入密码,APP也可以通过调用后台存储的信息,帮助用户B直接登录。

  北京益安在线的网络安全专家王刚进一步分析,“陌生人通过免费Wi-Fi连接APP和你进入同个局域网,就相当于在你家上网。对方如果稍懂技术,你的IP地址、手机型号、电脑等信息都可能泄露,甚至你家里的电视机等联网设备等都可能被操控。”同理,对企业来说,员工使用此类APP也可能导致企业内部信息被泄露。

  记者注意到,被央视报道点名的两款APP迅速回应称,APP本身不具备密码破解功能,而是通过用户主动共享Wi-Fi信息实现功能。“WiFi万能钥匙”还表示,获取信息均在法律允许范围内,还需经用户同意。

  分享Wi-Fi信息是用户明示同意的?

  《个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。具体表现在Wi-Fi共享软件上,即在用户使用之前,APP应明确提示Wi-Fi信息将被如何收集、使用和共享。

  4月3日,记者以“WiFi”为关键词,在安卓平台上下载了排名靠前的10款免费Wi-Fi连接APP,其中包括前述被点名的“WiFi万能钥匙”“WiFi钥匙”,其余8款APP的提供商既有腾讯、360等大型互联网公司,也有其它软件开发公司。

  记者查阅上述10款软件的隐私条款发现,多款APP直接将“用户同意授权分享Wi-Fi密码”写进了隐私条款,更有3款APP未提供任何协议,分别是万能“WiFi连接钥匙”“万能WiFi钥匙”和“WiFi万能密码钥匙”。

  “WiFi伴侣”“WiFi钥匙”和“平安WiFi”的隐私条款里均提到,用户点击选择“√”或“登录”即同意共享Wi-Fi密码给其它用户、同意APP自动采用路由器账号,以及默认开启自动分享已连接热点的开关。

  在这个由Wi-Fi网络拥有者、提供Wi-Fi共享服务的运营者和用户三方构成的格局中,最大的受害者无疑是网络拥有者。“毕竟是自己花钱装的Wi-Fi,有人蹭网不仅影响网速,还可能埋下信息安全隐患”,王刚说。

  对用户而言,无疑也是用个人隐私交换效率和便利。据新华社报道,Wi-Fi分享软件会根据用户使用偏好、位置等信息,精准推送广告,或为商户导流。以全球用户超过9亿的“WiFi万能钥匙”为例,官网自称“专注于提供免费上网、内容服务、精准广告以及场景化营销等服务”。

  即使在最核心的Wi-Fi密码分享页面,也只有3款APP提供了声明,声明内容无视用户权利,更像是免责条款。

  比如“WiFi管家”在《功能分享》中提及,用户应当保证分享、提交的信息系真实、准确、有效、安全,且有权对相关信息进行分享、提交,不会造成其他用户对公共WiFi的误认,亦不会侵犯他人的合法权益:“平安WiFi”则干脆表示,不对共享Wi-Fi的真实安全性等作出承诺和保证。

  Wi-Fi信息是你主动共享的?

  记者注意到,在回应“窃取密码”的质疑时,两款被点名的APP均表示是Wi-Fi所有者“主动分享”。事实果真如此吗?

  王刚曾使用过多款WiFi共享软件,他发现70%~80%的情况下用户其实是被动分享。南都记者也通过实测发现,10款受测APP中,一半存在授权漏洞,未给予用户充分的知情选择权。

  在分享页面中,有5款APP默认勾选Wi-Fi密码分享选项,其中3款甚至以奖励的方式引导用户分享。比如,“平安WiFi”称“分享Wi-Fi得奖励”:“WiFi万能密码钥匙”和“360免费WiFi”则直接打出奖励内容,前者可获得300积分,后者直言“分享能赚300金币”。

  比引导分享更值得注意的是,有的APP首次使用便直接默认开启Wi-Fi密码分享。记者发现,在已经连接Wi-Fi的环境下,首次进入“万能WiFi钥匙”APP,“设置”页面上的“共享WiFi信息”开关就已经默认开启,也就是说,Wi-Fi信息在用户毫不知情的情况下已经被共享。

  而进入另一款“万能WiFi连接钥匙”APP的设置页面后,记者被直接提示输入热点名称和密码。此外,该APP还有Wi-Fi参数查询功能,Wi-Fi名称、IP地址、MAC地址、网关一览无余,手机ROOT后还能查看曾经连接成功的Wi-Fi密码。试想,如果用户的Wi-Fi密码正好是其手机号或生日等个人信息,无形中个人隐私也泄露了。

  从记者的实测结果看,用户共享Wi-Fi的行为并非完全主动知情。换句话说,不少免费Wi-Fi连接APP主动收集用户输入的密码,或者引导用户分享密码;即使小部分表示得较为“收敛”,给予用户相应的选择权,也没有充分告知可能存在的风险。

  更可怕的是,即便Wi-Fi主人的安全意识较强,未使用过任何蹭网软件,也难逃外来干扰。王刚就曾遇到过这样的事:亲戚朋友来家里做客,因为手机里装有Wi-Fi共享软件,一连上他家网络,密码就被共享出去了。

  工信部提醒

  谨慎使用蹭网类APP

  诚如很多Wi-Fi共享企业在隐私条款里提到的,平台并不自行创造内容,所有数据内容均由用户主动上传。但核心问题是,共享Wi-Fi后就不存在安全风险吗?更何况有些用户是在不知不觉的情况下被动分享Wi-Fi密码的。有专家认为,这不仅违背了基本的知情同意原则,还涉嫌对个人信息构成侵权。   

  被央视点名后,安卓版“WiFi万能钥匙”于3月30日更新了隐私权政策,但iOS版仍使用去年9月30日生效的版本。新修订的隐私权政策里,增加了收集用户信息及其用途的说明,明确指出当用户使用“连接热点”、“钱包”等功能时,需要提供的个人信息及使用目的。

  4月3日,工信部发布通报称,近日组织专业机构对两款被央视点名的APP做了技术分析,发现它们具有共享Wi-Fi密码等信息的功能,将进一步调查。同时工信部也提醒用户,谨慎使用这类蹭网软件。

  怎样才能避免这类软件可能带来的风险?王刚指出,最直接有效的措施是经常修改Wi-Fi密码。

相关阅读:

WiFi分享软件乱象调查:热点分享还是密码上交呢

http://pcedu.pconline.com.cn/1104/11046885.html

工信部要求对WiFi万能钥匙等蹭网类程序展开调查

http://pcedu.pconline.com.cn/1104/11046884.html

央视揭露WiFi万能钥匙安全隐患 工信部:依法处理

http://pcedu.pconline.com.cn/1104/11046865.html