用WiFi万能钥匙时到底发生了什么?先弄清背后原理和用户协议
你和家人在用“WiFi万能钥匙”一类的手机App么?据说有了它们,在走亲访友、购物休闲、外出旅游的时候,可以一键破解WiFi密码。不但可以节省宝贵的手机流量,还省去了开口求人的麻烦。但是,你清楚这些手机应用的真正原理,和潜在的风险么?(详见:5张图告诉你WIFI共享软件是怎么“偷”你WIFI密码的)
3月29日,央视播出的《经济半小时》栏目中,记者使用“WiFi万能钥匙”和“WiFi钥匙”这两款App,在北京、上海进行了测试,发现无论是在普通民宅、商业区,还是政府机关和金融机构附近,通过软件都能连接到原本设有密码的无线网络,甚至还能查阅到WiFi热点的配置文件、登入管理后台。
4月2日,国家工信部发出通报称,已要求相关地市的通信管理局开展调查,将在核查的基础上依据《网络安全法》等法律法规进行处理,并提醒网民“谨慎使用WiFi‘蹭网’类应用程序”。
消息一出,不少人为政府的监管、整治叫好,但也有网民认为这类连网工具够实用,担心它们真的被取缔。
"网民
@各说各话的三言两语:支持,法治社会的必须
@我是人间惆怅客201802:这个软件也挺好的!有利有弊!!!
@吾心逆天命:为什么这么多人骂?我就不信你们没用过
@白马非马456:人人为我,我为人人,没必要那么小气,发现有人长期盗用,改一下密码就是。
这并不是一次口水仗,而是关乎一个巨量的互联网使用人群。目前,在“WiFi万能钥匙”官方网站上,可以看到两个令无数App开发者望而兴叹的数字——用户“9亿+”,逼近微信用户总数;月活用户“5.2亿+”,远超新浪微博。在安卓应用市场中,“WiFi万能钥匙”进入了豌豆荚优质应用列表,同类型软件也常年排在下载榜单前列。
对于这些用户来说,“蹭网”类应用带来的安全威胁到底有多大?应该相信“天下没有免费的午餐”,还是以开放的姿态拥抱“共享主义”?亲戚或朋友在用WiFi万能钥匙,是否应该建议他们卸载?
看完下面这些,再做决定吧!
“WiFi万能钥匙”背后的原理
1
也许是这些App的名字激发了人们的想象,似乎只需安装一个免费的手机应用,就掌握了随手破解WiFi密码的“黑科技”。事实并非如此。
多名业内人士告诉南都记者,“WiFi万能钥匙”类App的真正原理是,
收集用户手机上成功连接过的WiFi账号和密码,并上传、存储到App的服务器上
,等到附近的蹭网者搜索到同一个网络时,该App就可以根据附近热点的配置信息,从服务器上自动匹配并取得相应的密码,通过数据流量发送到手机端,从而完成WiFi连网。“WiFi万能钥匙”开发者、上海连尚网络科技有限公司对此有相近的解释。4月4日,该公司在对南都记者的书面回复中强调:“WiFi万能钥匙的工作原理并非破解密码,而是共享网络资源。热点主人将自己闲置的WiFi资源分享到‘WiFi万能钥匙’,帮助其他人上网。”
两种表述之间的微妙差异,恰是WiFi万能钥匙备受争议的根源。
该应用在2012年9月上线(安卓版本)。据早期用户回忆,运营之初,“WiFi万能钥匙”默认设置为“自动分享热点”,也就是说,提供WiFi账号和密码的用户未必都是自觉、主动的分享者,而这些被分享的WiFi热点真正的所有者(为之缴网费的人),甚至可能从未安装过该App。只要自家的WiFi信号被一台装有此应用的手机成功接入,在不更改密码的情况下,这一无线网络就向所有“WiFi万能钥匙”的用户免费开放了。
在激烈的抗议声中,2014年底,“WiFi万能钥匙”更新了安卓3.0.96版本,将安装时默认的“自动分享热点”关闭,用户可以选择“分享前询问我”。2015年1月,该应用的ios版本上线,从一开始就取消了分享热点的功能。
目前,“WiFi万能钥匙”已经开始自建免费热点、与运营商合作提供免费上网时长,用广告位和代金券引导商户热点主人和个人热点主人进行主动分享,理顺了自己的运营模式。但无可否认,早期的“自动分享”帮助其完成了原始积累。规模效应,是其如今的连网成功率和庞大用户数量的根本依托。
“免费连WiFi”,风险有多大?
2
想要使用WiFi万能钥匙,首先必须同意《用户协议》。如果用户注意到醒目的“立即连接”按钮下的那一行小字,点开并阅读近1万5千字的《用户协议》和《隐私权政策》,便会发现如下条款:
①您注册WiFi万能钥匙账号时须至少向我们提供账号名称、手机号码。(“WiFi万能钥匙”官方对南都记者的回复中还提到,必须开启GPS定位权限,否则无法查找和连接热点。)
②我们还会收集利用其本身无法与任何特定个人直接建立联系的信息及数据……主要为,您在使用我们的产品或服务时,
在网站或应用程序上的服务器数值,其包括但不限于您输入的关键词、您的网页记录及其他相关记录(Cookies)……
③我们可能会收集关于您使用产品和/或服务(包括使用方式)过程中产生的信息,此类信息包括:设备属性信息、设备位置信息、设备连接信息以及设备状态信息(例如设备传感器数据,设备应用安装列表)。对于从您的各种设备上收集到的信息,我们可能会将它们进行关联……
④在不透露您个人信息及其他信息的前提下,我们
有权对用户数据库进行分析并予以商业化的利用。
⑤若您是18周岁以下的未成年人,在使用我们的产品与/或服务前,请务必要求您的监护人仔细阅读本隐私政策……
对于收集到的用户私人信息,WiFi万能钥匙承诺“充分尊重、妥善保存”,但也在协议中声明:“本公司不承担
因不可抗力
引起的个人信息丢失、泄露等风险和/或产生的损失。”“请您理解,由于技术水平限制及可能存在的各种恶意手段
,有可能因我们可控范围外的因素而出现问题。”这些使用条款,您和家人是否知情同意了呢?而《协议》中提到的“不可抗力”、“可能存在的各种恶意手段”,又是什么意思?我们可以用一个比喻来帮助理解——
如果把无线网络比作一个空间,那么WiFi热点的名称就是大门,WiFi密码就是这扇大门的锁。如果门上没有锁,其他人只要走近了这扇门,就可以随意出入这个空间,与同处在其中的人和物品发生接触。一些公共场所提供的开放热点(连接时不需要输入WiFi密码),之所以被不少业内人士认为有风险,正是这个原因。
而一些自动分享WiFi账号和密码的“蹭网”类应用,就像大门上原本有锁,它们却将钥匙无限复刻,分发给路过的人,于是私家宅院或办公大楼变成了人人可以进入的广场,原本较为私密的网络环境,也面临着与开放网络相似的安全隐患。
危害程度较弱的,可能是网速变慢,或是在用户浏览网页时插入广告链接,于是自动弹出广告;
更严重的,有操控用户所访问的网站域名,导致无法访问特定网址,或者定向跳转到某些恶意网站;
而对于一些技术手段更高、别有预谋的人来说,只要与你接入同一无线网络(无论是TA蹭了你的网,还是你不慎连上了TA的钓鱼热点),TA就有可能对你的连网设备进行“监听”,从而截获密码、共享文档和照片等,造成隐私泄漏,也有可能植入病毒、或让你登入伪造网站进行在线支付,导致难以追回的经济损失。业内人士向南都记者透露,用户隐私信息,包括姓名、电话、银行卡号等一系列组合信息,在互联网黑灰产业属于高价标的,令不法分子垂涎。
网络安全人士指出,由于WiFi万能钥匙等连网软件集成了安全检测功能,对数据传输也做了加密,因此对于局域网内的黑客行为有一定的防御作用,比直接通过手机连接到免费WiFi热点安全一些。不过,使用者也将面临隐私从App渠道流失的额外风险。此外,即便WiFi万能钥匙宣布“通过了国家信息安全等级保护三级标准验收”,但这仅是对其产品本身而言。回到之前的比喻,空间的安全性并不取决于配钥匙的工具是否可靠,而是主要取决于治安力量、围墙及防盗门的坚固程度。因此,使用“自带安全认证”的App连网,仍不能免受互联网生活的固有威胁。
我家WiFi“被共享”了吗?
3
在了解“WiFi万能钥匙”的原理和可能带来的风险之后,身为WiFi热点主人的你也许想知道,如何判断自家无线网络是否“被共享”了?
如果你本身就是“WiFi万能钥匙”用户,或已经下载了此应用,有一个准确无误的办法:在打开WiFi、但是尚未连接到任何WiFi热点的状态下,进入系统设置中的无线网络列表。假如你在列表中的自家WiFi热点下方看到了“√WiFi万能钥匙 一键连接免费WiFi”的标识,就代表着这一WiFi的SSID(WiFi名称)、MAC地址和密码已被App服务器记录。
如果你并未使用该App,则可以进入路由器的管理界面,查看当前已连接到网络的设备列表。如发现有较多不熟悉的设备,则有可能已经“中招”,有必要展开进一步的排查。
注:目前市面上较为先进的路由器可能会自带后台管理App,可以直接进行管理/拉黑/限速操作;如果没有专门的应用,则可在接入无线网络状态下,在浏览器中输入tplogin.cn或192.168.1.1,即可登录到传统的路由器管理界面。初始管理员密码通常为admin(建议修改)。
进入管理界面之后,点击“设备管理”,就可以查看已连接的终端(主机数)了。
当你发现自家WiFi密码已在不知情的状况下被“WiFi万能钥匙”收录时,除了及时在路由器管理界面修改WiFi名称(使服务器找不到你的WiFi)、修改WiFi密码(“蹭客”将无法验证成功)之外,还可以通过如下方式提出申请,令App运营者将你的WiFi账号和密码在服务器中剔除:
安卓用户:在“WiFi万能钥匙”App内找到“取消热点分享”选项,填写SSID(WiFi名称)、MAC地址和电子邮箱,提交审核。
苹果用户:无法自助申请。需要将SSID(WiFi名称)、WiFi密码、MAC地址、路由器控制界面截图发送至上海连尚网络客服QQ(800806564或2852373782),由工作人员进行记录。
根据“WiFi万能钥匙”对南都记者的回复,“处理过程很快”,未来还将进一步优化热点分享的取消流程,并通过对连接时间、次数、位置等热点属性的分析来甄别是否为热点主人主动分享,加大监管力度。
其实,在移动互联时代,我们常常会发现,安全和便捷是难以兼得的,只能在充分了解安全风险的前提下,根据自己的需要找到平衡点。
对于普通人来说,防止自家WiFi被不明人士接入,最容易操作的办法就是
经常登录路由器管理界面,更改WiFi名称,重设由数字、字母、符号组成的多位数复杂密码,更新路由器管理密码
,发现不明终端接入时及时封禁。
有条件的,还可以为自家WiFi路由器升级换代,开启“访客网络”并设置该网络的独立密码,或是对无线设备单独设置网速限制等。如对自家无线网络有更高的安全要求,则可以在路由器设置中选择隐藏SSID、开启MAC地址过滤功能
(白名单)等。除非是高水平的黑客有较强的动机去破解,这样设置后的无线网络,已经具有了较好的防御能力。作为WiFi信号的使用者,我们则要注意,不在安全性未知的网络传输敏感信息,不随意连接没有密码的“免费WiFi”(如果愿意牺牲一定的便利性,最好在手机设置中关闭“自动连接到网络”)。此外,安卓手机不要随便使用ROOT权限,苹果手机不要随便越狱,安装移动应用时,要确保获取的是官方版本。
南都采编指挥中心出品
采写/整理:南都记者 侯婧婧
娜迪娅、杨博文对本文也有贡献
部分资料来自网络
报料
请点击
E隐私投诉小程序
推荐阅读:
李彦宏说中国用户对隐私不敏感 网友回怼:被逼的
你信赖你被坑,你有钱就活该?“大数据杀熟”疑云需要明确解释
评论 | FB信息泄露事件:擅自分享好友信息,你有权这么做吗?
- 首艘“中国造”极地破冰船“雪龙2”号实现WiFi覆盖
- 飞秒激光刺激:改变细胞命运的新“钥匙”
- 老公上班忘带钥匙,回家却看到老婆.....看完泪流满面!
- 在青山绿水中找到致富金钥匙
- 老公上班忘带钥匙,推门撞见老婆!
- (-.-)晚上睡觉前,一定要在门里面插把钥匙
- 杭州一别墅女主人收到神秘纸条:钥匙拿走了,1万元来换
- 万能小常识,很好用!
- 没拔钥匙的电动车,频频遭贼手
- 2018年刚出的《万能表》!只发一次,人手一份,先收藏~再群发