Category Hierarchy

文/杭州硅谷小报朱文科

今天,工信部发布关于「蹭网」类移动应用程式的通报。通报称,工信部网络安全管理局组织网络安全专业机构对移动应用程式「WiFi万能钥匙」和「WiFi钥匙」进行技术分析,发现两款移动应用程式具有共享用户所登录Wi-Fi网络密码等信息的功能。

除了要求上海市、福建省通信管理局开展调查工作,通报还提醒用户,谨慎使用Wi-Fi「蹭网」类移动应用程式。

工信部的通报,将一个用户数比微信还多、打着「共享经济」旗号的蹭网App推到了聚光灯下。网络案例专家提醒,别再蹭网了,蹭网就意味着你在网络世界里「裸奔」。

「蹭网神器」被曝窃取Wi-Fi密码

工信部通报中提到的「WiFi万能钥匙」,是鼎鼎有名的「蹭网神器」,常年霸占App下载排行榜前三。早在2016年6月,它在全球就拥有9亿多註册用户,覆盖223个国家及地区。而在当年年末,微信全球註册用户还不到9亿。

这个手机软体能干嘛?帮你蹭网,也就是免费连接周边加密的Wi-Fi网络。在Wi-Fi万能钥匙的官网上,这样描述其愿景:「消除数字鸿沟,让全世界人民免费上网」,并声称要打造「全球网络共享平台」。

然而,这个看上去像」雷锋「的手机软体,近日被央视《经济半小时》曝光,存在窃取他人Wi-Fi密码情况,无论是个人的Wi-Fi热点,还是商场、外交大楼及金融机构,均可轻松攻破。它甚至能进入他人路由器后台,查看和修改改用户信息。

截至发稿,两款软体都可以正常下载。WiFi万能钥匙还回应称,其运行原理是热点共享,不是破解,是通过WiFi热点资源共享的方式,让用户便捷连接,安全上网。

但安全专家提出了新的质疑,因为,当用户蹭网或者将自己Wi-Fi分享出去时,会产极大的安全隐患,容易遭受黑客攻击。

共享Wi-Fi

瑞星网络安全专家唐威在接受硅谷小报採访时解释了蹭网软体的技术原理:首先,用户A将自己所在位置已经连接成功的Wi-Fi热点上传分享到蹭网软体的云端,分享的信息包含热点名称、用户名、密码等。

当用户B到达该区域,扫描到用户A分享的热点信息时,蹭网软体云端会匹配相应的密码返回给该用户使用。这样,用户B就成功连接了该Wi-Fi热点。

最后的结果就是,你可以免费蹭到任何一个连接过蹭网软体的Wi-Fi网络,而全世界任意一个手机里安装了这类工具的人,只要经过你家附近,不管有没有跟你打招唿,是不是你的熟人朋友,也可以随意连接你家的路由器,随便蹭网。

蹭网就相当于「裸奔」

「与『共享单车』『共享充电宝』之类相比,『共享WiFi』才是真正的共享经济,但这种共享太危险了,一旦你使用,就等于在网络世界里『裸奔』。」唐威说。

他解释说,使用这类工具的用户,由于网络用户名和密码泄露,黑客可直接登录家里的WiFi网络,进而对WiFi路由器以及网内其他联网的手机、平板、电脑发动攻击或植入病毒,然后就可以监控到网内设备的上网信息,包含支付、聊天、照片等。

而当你蹭网时,黑客可以布设钓鱼Wi-Fi,一旦你不幸中招,你手机的所有上网流量都会被监视,在你连上钓鱼WiFi的一瞬间,若干个App会有联网动作,不管你有没有手动运行它,这个App登录网络的数据包都可能被截获,只要肯下功夫,你手机里的秘密就有暴露的危险。

对于企业来说,危害更大,黑客可以直接进入企业内网,通过技术手段入侵员工的电脑、公司的伺服器,进而导致商业机密泄露,电脑或伺服器遭到攻击等。

据他介绍,去年袭击全球的WannaCry勒索病毒,就是通过这种方式入侵的。

唐威说,即使没有遭受黑客攻击,使用这类工具,也存在个人信息泄露的风险。他查看过几款此类软体的使用条款,发现大多有收集用户个人信息的权限,包括用户使用手机的设备信息、使用伺服器的IP位址、GPS定位等,有的甚至要求用户提供身份、手机号码等隐私信息。

对于一个蹭网工具来说,这些个人信息其实是不必要的,那为什么要收集呢?他分析是卖给第三方,以提供所谓的「广告精准投放」。

在央视《经济半小时》的报导中,就提到了「WiFi万能钥匙」利用用户信息进行广告投放的情况。

事实上,蹭网软体正是靠这个大发其财。2015年初,「WiFi万能钥匙」购买了几十辆特斯拉,用于奖励员工,当时曾掀起轩然大波。

「那些蹭网的用户,就好像自己被别人卖了,还帮人家数钱。」唐威说。

不蹭网,改密码,关闭SSID

据唐威介绍,要防范Wi-Fi泄露的风险,首先是不要蹭网,不使用这类工具。因为只要蹭网,就等于是将家里大门的钥匙插在门上。

如果你用过这类工具,然后就要修改家里路由器的设置,更换全新的用户名和密码,网关的用户名和密码也要修改,不要使用出厂设置。如果路由器有访客功能,可以打开,供客人使用。或者配置路由器的黑白名单,绑定联网设备的MAC地址,只允许指定的设备连接。

如果不想被别人蹭网,可以将路由器中的SSID广播功能关闭,这样其他人搜索网络时,就看不到你家的WiFi信号。

对于企业来说,防范思路是一样的。首先要使用安全等级更高的企业级路由器,并对连接到内网的设备进行身份验证,只允许授权过的设备连接到内网。配置访客专用的Wi-Fi,和办公内网隔离,同时教育员工,禁止使用「蹭网」工具。

陕西惠家门业有限公司 | 金帆 | www.wcxcdc.net | 厚福德官方网站 | 天一 | 湛江 | 慧丰信息网 | 科技 | http://azjrjd.com | 截止阀