揭秘WiFi“萬能鑰匙”:不只偷密碼 還能竊信息
多家國家機關(guān)金融機構(gòu)WiFi密碼被竊 9億用戶如“裸奔”
重大預(yù)警��!多家國家機關(guān)�����、金融機構(gòu)WiFi密碼被竊�,9億用戶如同“裸奔”
WiFi全稱叫做無線保真,和藍牙一樣���,屬于在辦公室和家庭中使用的短距離無線通訊技術(shù)����。一般來說,消費者都是自己花錢購買WiFi設(shè)備�����,繳納電信的流量費用�,設(shè)置屬于自己的登錄密碼,但實際上�,你的WiFi密碼,你花錢購買的流量���,可能早就被人悄悄地偷走了����。
從個人到商場�,從外交大樓到金融重地,“萬能鑰匙”統(tǒng)統(tǒng)可以輕松竊取密碼
根據(jù)觀眾的舉報�,《經(jīng)濟半小時》記者打開手機軟件商店,無論是安卓手機系統(tǒng)還是蘋果手機系統(tǒng)��,軟件商店里都有一款叫做WiFi萬能鑰匙和WiFi鑰匙的免費軟件����。它的下載排名非常靠前�����,銷售業(yè)績非常火爆��,它的圖標(biāo)如同一個電波發(fā)射信號����,寓意著無論你身在何處,WiFi都可以一鍵鏈接�����。
這兩款A(yù)pp��,深受網(wǎng)友的喜愛���,從它的評分及評論上可以看到�,滿分5分的評分標(biāo)準(zhǔn),WiFi萬能鑰匙得了4.5分��,近10萬評論�����。而WiFi鑰匙則得了4.8分,評論超10萬���。
觀眾舉報稱,這兩款軟件會將所有的WiFi信息放進它編織的后臺程序里�,只要消費者下載并使用,這個消費者的手機就自動成為了這個軟件的一個流動間諜�����。這兩款軟件借用消費者的手機�,會窺探這部手機周邊和經(jīng)過地點所有的WiFi信息,悄悄偷取各類WiFi的密碼信息�,在消費者絲毫不知情的情況下,將這些信息傳軟件的后臺�����,一切都神不知鬼不覺地完成���。
2018年3月初����,記者首先在北京開始了測試。位于朝陽門外大街的吉慶里小區(qū)西南角的11號樓樓下�,記者打開了已經(jīng)下載到手機里的WiFi萬能鑰匙軟件,并關(guān)閉了記者手機的4G信號��。
瞬間����,吉慶里小區(qū)11號樓以及周邊所有的WiFi信號全部顯示出來。短短的幾秒鐘時間��,記者就連接上了一個tenda的加密網(wǎng)絡(luò)��。而這個WiFi究竟是誰的�����?承擔(dān)什么功能����?記者在一無所知的情況下,軟件就幫助記者的手機順利進行了登陸����。隨即��,這個WiFi網(wǎng)絡(luò)背后的一切����,都展示在了記者的面前�。
隨行的技術(shù)人員告訴央視財經(jīng)《經(jīng)濟半小時》欄目記者,這個路由器沒有更名����,可以看到它是騰達的路由器�����,一些人員可以通過騰達進入它的后臺登錄地址��。
如果用戶的后臺原始密碼沒有修改的話���,輸入admin是可以直接進入路由器的后臺��,看到一些連接人的信息���,包括一些黑客可以對銀行卡密碼這些信息進行盜取����,但是這家已經(jīng)修改了原始密碼��。
那么這戶人家的WiFi密碼是多少呢���?記者打開WiFi鑰匙軟件����,通過360root工具����,獲取到root權(quán)限后,在WiFi鑰匙里就能查看到這家無線WiFi的密碼�����。在手機屏幕上直接顯示出���,該密碼是一個尾號為9835的手機號碼��。
這樣的測試對于一個普通消費者來說���,無疑是震驚的��。通過WiFi鑰匙這款軟件����,記者不僅僅竊取了這戶人家的WiFi密碼���,而且���,還能通過這個軟件看到這個WiFi網(wǎng)絡(luò)后面所有的隱私。比如:個人的微信�����。從剛才得到的手機號碼我們搜索出一個微信號�����,就可以進行添加���。一個密碼查到了一個微信,但是偷取的東西還遠不止這些��。
用同樣的方法�,記者又通過WiFi萬能鑰匙查找到另一個名為ziroom505的密碼為400開頭的一串?dāng)?shù)字�。
更讓記者震驚的是���,不光個人的WiFi能夠隨意的竊取���,商業(yè)機構(gòu)的WiFi密碼也能被這款WiFi萬能鑰匙軟件竊取。
在北京朝陽區(qū)朝陽門外大街18號的豐聯(lián)廣場�,記者剛剛走到大門口,WiFi萬能鑰匙很快就自動連接上了豐聯(lián)廣場的加密無線WiFi�����。
在朝陽門內(nèi)大街2號凱恒中心的一家星巴克咖啡店�����,記者通過WiFi萬能鑰匙搜到了15個WiFi熱點�,很快就自動連接上一個加密的ZKWX的WiFi。
在朝陽門外大街豐聯(lián)廣場二樓�����,一家名為寧味夏語的餐廳�,記者通過WiFi萬能鑰匙看到能連上六七個加密的WiFi網(wǎng)絡(luò),軟件以最快的速度連上了標(biāo)示為ningweixiayu-guest的網(wǎng)絡(luò)。
在餐飲和休閑場所�����,WiFi萬能鑰匙和WiFi鑰匙都展示出非常強大的蹭網(wǎng)功能���,竊取他人的WiFi密碼����,如同囊中探物一般的輕松���。
觀眾舉報還提到�,除了能輕松攻破小區(qū)住戶和普通商戶的WiFi用戶名和密碼�,WiFi萬能鑰匙軟件對于國家重要機關(guān)、金融機構(gòu)的WiFi網(wǎng)絡(luò)密碼��,也同樣能實現(xiàn)輕松竊取���。一款普通的軟件,是否能膽大妄為到這樣的地步嗎��?記者繼續(xù)展開測試�。
在北京市朝陽區(qū)的中華人民共和國外交部辦公大樓門口,記者打開了手機上的WiFi萬能鑰匙軟件,開始測試能上網(wǎng)的信號強弱�。手機顯示了有四個可以連接的加密網(wǎng)絡(luò)信號,記者隨意通過軟件連上了信號最強的BJST-1 標(biāo)示的網(wǎng)絡(luò)并能輕松上網(wǎng)瀏覽網(wǎng)頁��。無任何的阻攔�、無任何的密碼檢查,記者就這樣在WiFi萬能鑰匙軟件的幫助下��,進入了外交部大樓里的網(wǎng)絡(luò)系統(tǒng)����。
在北京市東城區(qū)朝陽門內(nèi)大街2號的中國銀行北京市分行。中國銀行的英文名稱是bank of china����,每個開頭字母的縮寫是BOC。在中國銀行北京市分行的自助柜臺機(ATM)旁邊��,記者打開手機�����,5秒鐘的時間�����,不僅成功地連接上BOC_CA的無線網(wǎng)絡(luò),而且還能看到它的IP地址�,子網(wǎng)掩碼,路由器等相關(guān)信息數(shù)據(jù)�����。那么這個剛剛連接上的BOC_CA的無線網(wǎng)絡(luò)�����,與中國銀行北京市分行有什么關(guān)系呢�����?
中國銀行北京市分行 工作人員:有無線網(wǎng)絡(luò)�����,得用微信認證����,BOC_CA不是我們一樓的,是別的樓層的�。
工作人員告訴記者����, BOC-CA 是這個大樓內(nèi)銀行其它部門的網(wǎng)絡(luò)�����。但是����,即便是被加密����,依然被WiFi萬能鑰匙和WiFi鑰匙兩個軟件輕松竊取,并予以了連接���。
在位于朝陽門北大街17號中國人民財產(chǎn)保險有限公司北京分公司�����,記者測試發(fā)現(xiàn)����,WiFi萬能鑰匙至少可以竊取到6個可以分享連接的無線網(wǎng)絡(luò)����。記者僅僅就站在公司的大門口�,便很輕松地用軟件連接上有中國人民保險英文縮寫字樣的BJPICC的網(wǎng)絡(luò)�����, 軟件的后臺立刻顯示出它的IP地址��,子網(wǎng)掩碼�,路由器等相關(guān)信息數(shù)據(jù)。
記者在北京展開了一系列的測試���,無論是普通居民小區(qū)����、商業(yè)機構(gòu)�,還是政府機關(guān)、金融機構(gòu)�����,WiFi萬能鑰匙和WiFi鑰匙兩個軟件都能順利的竊取到這些個人和單位的WiFi密碼�����,并順利連接�。而且通過后臺�,可以清楚的查閱WiFi的后臺數(shù)據(jù)信息�����。簡單的說�,在這兩個軟件面前��,很多公共機構(gòu)如同裸奔一般���,毫無任何秘密可言���。
在上海市人民政府大門門口,記者打開WiFi萬能鑰匙��,上面顯示附近發(fā)現(xiàn)8個WiFi熱點���。記者嘗試了信號強度最好�����,標(biāo)示為TAOJR的加密網(wǎng)絡(luò)���,很快就能連接上網(wǎng)��,并看到它的密碼是一個尾數(shù)為5751的手機號碼����。
上海是中國的經(jīng)濟�、金融、貿(mào)易中心�,陸家嘴位于上海市浦東新區(qū)的黃浦江畔,是眾多跨國銀行的大中華區(qū)及東亞總部所在地��,中國最具影響力的金融中心之一�。這里匯集了匯豐銀行、花旗銀行���、東亞銀行等多家外資銀行����。那么在陸家嘴這樣的金融中心�,這里的WiFi密碼,WiFi萬能鑰匙和WiFi鑰匙兩個軟件是否也能竊取到呢�����?
在上海浦東新區(qū)陸家嘴東路161號��,招商局大廈的上海元亨祥股權(quán)投資基金集團有限公司,這家公司的網(wǎng)站上這樣描述����,它已經(jīng)為全國各地的智慧城市、PPP投資運營提供投資資金逾百億元���。
那么WiFi萬能鑰匙軟件是否能打開它的加密網(wǎng)絡(luò)呢?記者通過搜索查到了有元亨祥大寫字母標(biāo)示的YHX-F1-1的網(wǎng)絡(luò)�����,點擊后����,非常順利地就連接上了,而且還得到了一組以A18539開頭的一串密碼���。這串由兩組21個數(shù)字和字母編寫而成的復(fù)雜密碼���,僅用幾秒鐘就被WiFi鑰匙的軟件竊取到手。
位于陸家嘴花園石橋路66號金融大廈里的東亞銀行����,是香港最大的獨立本地銀行����,股票總市值達到900多億港元����。
記者在東亞銀行門口查到了一個BEA-guest的加密WiFi,它的密碼是8位數(shù)字�����。離東亞銀行不遠處是上海市浦東新區(qū)銀城中路8號�,海銀金融控股集團有限公司。
海銀金融控股集團有限公司經(jīng)營范圍涵蓋財富管理����、基金、保險����、銀行、期貨等領(lǐng)域�,管理資產(chǎn)達800億元,業(yè)務(wù)范圍覆蓋美國����、德國�、新加坡等多個國家和地區(qū)�����。
在海銀集團的總部門口��,記者成功地連接了它加密的VIP網(wǎng)絡(luò)����,并成功地破解了它后綴為2016的網(wǎng)絡(luò)密碼����。
而位于上海延安西路2299號的上海世貿(mào)商城,總面積28萬平方米��,是一個集展示�、交易、辦公�����、資訊于一體的超級交易市場��,這里云集了國內(nèi)外上千家供應(yīng)商和跨國采購機構(gòu)。記者進入這棟大樓��,
在二樓的中國檢驗檢疫大廳門口����,通過WiFi鑰匙看到了它標(biāo)示為PJCIQCN的加密WiFi密碼,并在這座大廈的三樓連接上了荷蘭品牌C&A的網(wǎng)絡(luò)����;
在大廈的4樓A28位置,連上了上海全鵬實業(yè)有限公司的加密網(wǎng)絡(luò)�����;
在5樓連上了名為urban walkers 生活館的加密網(wǎng)絡(luò)�;
在6樓A27 連上了廣東高達織造有限公司的加密網(wǎng)絡(luò);
在7樓B05 連接上了上海祥益紡織品有限公司的加密網(wǎng)絡(luò)���。
記者通過實地測試發(fā)現(xiàn)�,無論商家是否有自己加密的無線網(wǎng)絡(luò)�����,只要距離足夠近�,WiFi萬能鑰匙和WiFi鑰匙的App軟件�����,都能成功連上這些網(wǎng)絡(luò)并馬上破譯這些機構(gòu)設(shè)置的網(wǎng)絡(luò)密碼�����。
一款號稱全球用戶總量突破9億的App軟件 竟然是盜取用戶個人信息的黑手
使用這兩款軟件���,對消費者而言是擁有了強大的蹭網(wǎng)功能,但我們也不知道����,WiFi萬能鑰匙和WiFi鑰匙軟件通過攻破網(wǎng)絡(luò),還會去掌握哪些個人或者機構(gòu)的隱私及信息�?
如此明目張膽地偷取個人,商業(yè)機構(gòu)���,國家重要機關(guān)單位的網(wǎng)絡(luò)密碼, WiFi萬能鑰匙和WiFi鑰匙究竟是怎樣的一個App軟件�����?免費給消費者提供蹭網(wǎng)的最終目的又是什么呢�?這樣的軟件是通過什么模式來盈利的?如此大膽的這兩家互聯(lián)網(wǎng)公司到底是什么公司呢?
根據(jù)手機軟件上的介紹�,記者很快找到了這家生產(chǎn)銷售WiFi萬能鑰匙軟件的互聯(lián)網(wǎng)公司---上海連尚網(wǎng)絡(luò)科技有限公司,上海浦東新區(qū)張江張衡路666號一號樓盛大全球研發(fā)中心�����,WiFi萬能鑰匙的總部就在這里��。
WiFi萬能鑰匙物業(yè)管理人員:WiFi萬能鑰匙是在這��,有預(yù)約好的嗎��?沒有預(yù)約他們不接見的����。約好了找誰,我們再通過通訊錄打電話確認����,他們愿意接見才上去。
一連幾天����,WiFi萬能鑰匙公司始終無法登門拜訪,應(yīng)聘進不去��,談業(yè)務(wù)也進不去。無奈之下���,記者四處尋找如何突破�,終于一名WiFi萬能鑰匙代理商通過qq主動與記者取得了聯(lián)系��。
為了招攬生意��,代理商與記者進行了簡單地溝通����,隨后就給我們發(fā)了一個網(wǎng)頁,打開網(wǎng)頁清楚地看到���,這是整個WiFi萬能鑰匙軟件的廣告推介頁面以及和它合作的21家企業(yè)的標(biāo)識����。這位代理商告訴記者��,他們的總部在上海��,廣告事業(yè)部在北京���,他是核心代理商����,也是湖南地區(qū)的獨家代理��。
隨后記者詳細詢問�����,如果一款可以提現(xiàn)金的棋牌類手機游戲���,推廣的話是什么價格����。這位代理商告訴記者�����,按照點擊量來付費��,一個廣告的點擊價格在0.6元到一元�����。他聲稱�,WiFi萬能鑰匙客戶流量很大�,放開跑�,一天能有幾十萬的點擊量。但馬上他又很警惕地告訴記者���,315期間WiFi萬能鑰匙不接受棋牌類廣告���,因為風(fēng)險管控,棋牌類容易出現(xiàn)賭博�����。
WiFi萬能鑰匙的這名代理商明確表示���,即使可以提現(xiàn)����,并且?guī)в匈博性質(zhì)的棋牌游戲���,只要過了315����,也可以在WiFi萬能鑰匙上進行推廣�����。
為了進一步表明他是WiFi萬能鑰匙的廣告代理的身份��,他還向記者發(fā)了一份自己做代理商的總賬戶明細����。上面的廣告費余額是587724.59元,有170個廣告主�����。當(dāng)記者追問�,如果手機游戲沒有ICP的備案和許可證怎么辦時,對方依然回答說可以上�,沒有這些認證也可以上推廣。
隨后這位代理商給記者發(fā)了一份WiFi萬能鑰匙的廣告推介ppt�,上面明確標(biāo)注:截至2016年6月26日,WiFi萬能鑰匙全球用戶總量突破9億��,用戶月活躍數(shù)突破5.2億��。不同樣式的廣告位價格����,究竟是按照信息流還是按照競價排名�����,在這個ppt里都被標(biāo)注得一清二楚�����。
隨后���,這名代理商告訴記者,打開WiFi萬能鑰匙應(yīng)用�����,在右下角有一行非常小的藍色字體《WiFi萬能鑰匙用戶協(xié)議》�����,點擊立即體驗時��,就等同你默認了這個用戶協(xié)議��。而WiFi萬能鑰匙在這個用戶協(xié)議當(dāng)中�����,有一項隱私政策的聲明,里面描述了“它會如何收集和使用消費者的個人信息及其他信息”這些信息包括最基本的用戶使用手機的設(shè)備信息����; 使用服務(wù)器的IP地址����;GPS定位等等。而最為關(guān)鍵的一點是WiFi萬能鑰匙需要共享�、轉(zhuǎn)讓、公開披露用戶的個人信息���,只有這樣才能實現(xiàn)這個產(chǎn)品所謂的“核心服務(wù)功能”��。
在用戶使用時很少有人會關(guān)注到這一點�����,除非你進入設(shè)置中����,申請取消WiFi萬能鑰匙的熱點分享�。但如果消費者要這樣保護的自己權(quán)益的話,必須要填寫熱點ssid的名稱;熱點的密碼�;路由器mac的地址。并要拍攝路由器的背面外觀����,最終這一切繁碎的內(nèi)容都填寫完后,還要提交申請等待WiFi萬能鑰匙的審核����。它同意了,你才能取消分享���。
直到這時����,記者才明白�,這個看似點對點的服務(wù),實際上是通過WiFi萬能鑰匙變成點對N���,由此掌握更多的IP地址��,GPS定位���,通過信息分享吸引客流量��,發(fā)布各類廣告達到賺錢的目的��。
但在調(diào)查中記者發(fā)現(xiàn)�����,WiFi萬能鑰匙的網(wǎng)頁��,也充斥著不少色情圖片和內(nèi)容,在一些淫穢的圖片和視頻下方都會有這樣一個“點此投放廣告”的標(biāo)示��。點擊進入就會顯示出一個WiFi萬能鑰匙的廣告服務(wù)平臺的微信公眾號���。
為了弄清真相�����,記者加入了這個微信�,輸入廣告投放后����,出現(xiàn)了需要添加的尾號為1636的字樣號碼。由于記者調(diào)查的時間處在“315”前后�����,因此,記者多次添加尾號為1636的qq號碼��,都沒被接受為好友�����。
WiFi萬能鑰匙軟件竊取網(wǎng)絡(luò)用戶名和密碼��,嚴(yán)重損害了網(wǎng)絡(luò)用戶的合法權(quán)益�����,而另一款A(yù)pp軟件WiFi鑰匙也是如出一轍�����。
從WiFi鑰匙的App顯示�����,記者查到它的公司名稱為廈門眾聯(lián)世紀(jì)科技有限公司�����。記者注意到,在WiFi鑰匙的App里���,同樣留下了一個以400開頭的客服電話��,隨后記者撥打了WiFi鑰匙客服��。
WiFi鑰匙客服:很高興為您服務(wù)�����,請問有什么可以幫您�?
《經(jīng)濟半小時》記者:你們這邊是WiFi鑰匙的客服電話嗎�?
WiFi鑰匙客服:我們這邊不是WiFi鑰匙的客服電話��,您是不是撥打錯電話了�����?我們暫時沒有此類服務(wù)���,您這邊的話也咨詢一下其它地方看您是不是打錯電話了����,我們這邊是第三方充值商家的。
WiFi鑰匙明明在App里對外公布了客服電話����,為什么是一個和它毫無瓜葛的第三方充值商家機構(gòu)呢,那么這個WiFi鑰匙究竟是一家怎樣的公司����?記者根據(jù)WiFi鑰匙App對外公布的地址,找到了福建省廈門市軟件園二期望海路14號樓之一101單元�,剛進入望海路14號樓的大廳,我們就看到一個廣告牌上面印著WiFi鑰匙由此進入的字樣��,當(dāng)記者走進這家公司才發(fā)現(xiàn)����,在它的前臺打著眾聯(lián)世紀(jì)的牌子。
當(dāng)?shù)弥浾邽榭菑V告而來的時候��,這位姓劉的高級商務(wù)經(jīng)理接待了記者��,她詳細地告訴記者WiFi鑰匙的廣告是如何來運作的�。
眾聯(lián)世紀(jì)高級商務(wù)經(jīng)理 劉經(jīng)理:按分成來走的,就是我們給它導(dǎo)流����,如果用戶有一個付費充值的話��,那么這邊有一個流水分到我們這邊���,就這樣來做。
這位劉經(jīng)理為了展示W(wǎng)iFi鑰匙廣告平臺的吸引力�,告訴記者它們的客戶量和裝機量在蘋果手機App里榜上有名。
劉經(jīng)理:裝機量從2013年開始做到現(xiàn)在有2億多����,但是日活差不多在三四百萬左右,在蘋果榜單上也是比較厲害���,進前一百了�����。
這位劉姓的商務(wù)經(jīng)理為了顯示W(wǎng)iFi鑰匙的實力,向記者詳細介紹了WiFi鑰匙的廣告推廣����、商業(yè)信息和由此帶來的收益。
劉經(jīng)理:比如說它做了5000塊錢流水�����,那它就會分三到四成五成這樣子給我們,我們一年廣告的收入�,公司的數(shù)據(jù)不太方便,流水跑的話����,可能在三四千萬元左右。
打開WiFi鑰匙的網(wǎng)頁�,首先就是一個不堪入目的保健類內(nèi)褲的廣告,以及一些不堪入目的黃色內(nèi)容和色情交友軟件推廣��。它的廣告推介平臺正是來自于上面的“眾聯(lián)廣告”�����。
這些竊取用戶WiFi密碼�����,利用廣告盈利的網(wǎng)絡(luò)軟件����,消費者究竟該怎樣來看清楚他們的面目,維護自己的權(quán)益呢�?
邱寶昌,北京市法學(xué)會電子商務(wù)法治研究會會長,他提醒消費者��,大家要有基本的網(wǎng)絡(luò)安全知識��,千萬別去貪小便宜����,自己的“WiFi”一旦被分享出去后,隱藏著諸多的安全隱患����。
北京市法學(xué)會電子商務(wù)法治研究會會長 邱寶昌:要經(jīng)過消費者同意,不同意你不能默認假定消費者同意了��,所以這樣法律上有明確規(guī)定�����,涉及到信息應(yīng)該怎樣去保存呢���,你要保存你所收集的信息���,不泄露你不得用于一種商業(yè)交易��,并且你還要注意到你收集的信息���,有可能泄露的時候你要加強技術(shù)手段����,對于國家涉及到國家主權(quán)國家信息安全的,不是你能收集的�,那你是刺探情報,那就是泄露國家秘密���。泄露國家機密的販賣個人信息的���,竊取他人商業(yè)秘密的,要依法依規(guī)地打擊����。
半小時觀察:“偷密碼的鑰匙”不能萬能!
層出不窮的互聯(lián)網(wǎng)技術(shù)�,本身是為了讓大家的生活更為便利,但WiFi鑰匙也好�、WiFi萬能鑰匙也好,一把鑰匙�����,只能開一把鎖。如果不經(jīng)對方同意�,用一把鑰匙,瞞天過海的偷偷打開所有人的WiFi大門�����,這就是偷竊�����,而不是技術(shù)創(chuàng)新����。
遵紀(jì)守法是任何技術(shù)發(fā)展的前提,他們這樣在肆無忌憚地獲取密碼���,讓所有人隨意地進出���。由此埋下的隱患,是令人擔(dān)憂的��。我們希望相關(guān)部門堵住這些互聯(lián)網(wǎng)上的黑洞���,提前避免惡性事件的發(fā)生����,并切實維護好消費者的權(quán)益�。
關(guān)注樓主