2018-04-03 08:46 科技日报 作者:崔 爽
最近几天,两款分别名为WiFi万能钥匙和WiFi钥匙的免费软件热度很高。可惜的是,它们出的是“恶名”。据报道,这两款软件被举报“窃取各类WiFi密码”。
举报称,软件会将所有的WiFi信息放进它编织的后台程序里,只要消费者下载并使用,软件就会借用消费者的手机,窥探这部手机周边和经过地点所有的WiFi信息,悄悄偷取各类WiFi的密码。
甚至,两款软件连国家重要机关、金融机构的WiFi网络密码也不放过,带来很大安全风险。
关于这两款应用如何“偷取用户密码”,某安全机构技术人员表示其实它们获取的密码通常是先由用户“分享”出去的,这和WiFi万能钥匙的回应基本相符。用户使用此类软件连接免费WiFi时,所在位置、连接成功的WiFi热点的名称、密码等信息会被WiFi万能钥匙收集,进入密码库,其他用户查询该区域的WiFi时,可以直接调用存在密码库中的WiFi密码。这种“共享模式”从诞生之初就伴随安全争议。但由于用户量庞大,大家共享、大家使用的局面逐渐形成。
而这中间却蕴含着安全风险:连在同一个局域网(这里就等于连在同一个WiFi)里很容易被攻击,因为很多数据的传输是不加密的,于是被截取信息、被篡改信息的情况很容易发生。
落实到具体情境中,只要国家机关或银行中有任何人共享过WiFi密码,且这个密码后来没有被修改过,它就一直在密码库中,其他人都可以调用。
最近几天,两款分别名为WiFi万能钥匙和WiFi钥匙的免费软件热度很高。可惜的是,它们出的是“恶名”。据报道,这两款软件被举报“窃取各类WiFi密码”。
举报称,软件会将所有的WiFi信息放进它编织的后台程序里,只要消费者下载并使用,软件就会借用消费者的手机,窥探这部手机周边和经过地点所有的WiFi信息,悄悄偷取各类WiFi的密码。
甚至,两款软件连国家重要机关、金融机构的WiFi网络密码也不放过,带来很大安全风险。
关于这两款应用如何“偷取用户密码”,某安全机构技术人员表示其实它们获取的密码通常是先由用户“分享”出去的,这和WiFi万能钥匙的回应基本相符。用户使用此类软件连接免费WiFi时,所在位置、连接成功的WiFi热点的名称、密码等信息会被WiFi万能钥匙收集,进入密码库,其他用户查询该区域的WiFi时,可以直接调用存在密码库中的WiFi密码。这种“共享模式”从诞生之初就伴随安全争议。但由于用户量庞大,大家共享、大家使用的局面逐渐形成。
而这中间却蕴含着安全风险:连在同一个局域网(这里就等于连在同一个WiFi)里很容易被攻击,因为很多数据的传输是不加密的,于是被截取信息、被篡改信息的情况很容易发生。
落实到具体情境中,只要国家机关或银行中有任何人共享过WiFi密码,且这个密码后来没有被修改过,它就一直在密码库中,其他人都可以调用。
对此,记者采访到的安全行业从业人员都对其运营模式表达了不满。他们表示:“很多人近年来一直在努力科普公共WiFi要慎连这个问题,主要就是公共WiFi的安全风险很高,但此类软件却力推把所有WiFi变成半公共WiFi。”
“如果此类软件分享的WiFi热点并未获得所有者允许,这种行为就是对他人上网流量的‘盗窃’行为。”中国政法大学知识产权研究中心特约研究员李俊慧表示。WiFi共享本身并无问题,关键是WiFi所有者是否同意。WiFi热点设置人使用的流量已付费,如果其共享行为是自愿、自发的,就没有太大法律问题。
为此,记者联系了WiFi万能钥匙的相关负责人,对方强调自家产品的原理是“分享而非破解”,主要以给予回报的形式鼓励商家共享密码。
不过相关应用的密码库非常可观,从初始密码的WiFi到自主设置了复杂密码的WiFi,从个人用户到商家再到国家机构,都能轻松调用。从监管层面来看,此类APP上架时,审核其可连接的WiFi热点是否已经过用户允许难度较大。因此多数情况下,违规行为只能依靠用户举报,予以事后监管。
WiFi密码是用于连接WiFi时的授权验证,目的是实现对连入热点设备数量和人员的管理。“如果所有者密码设置方式不当,比如将自己的手机号设为密码,或将其他与资金安全相关的数字设为了密码,就存在一定的风险。”李俊慧强调,这种风险已经超出WiFi万能钥匙等应用的控制。
对于WiFi钥匙等应用,李俊慧表示,用户最好“敬而远之”,“分享自己的WiFi密码会给自己带来网络安全风险,而分享其他人或机构的密码的行为也不当,对自己没有所有权或管理权的商品或服务进行分享,是对他人管控权的侵犯”。