本文來自泰爾終端實(shí)驗(yàn)室
3月29日�����,央視《經(jīng)濟(jì)半小時(shí)》欄目曝光了“WiFi萬能鑰匙”和“WiFi鑰匙”兩款應(yīng)用軟件竊取Wi-Fi密碼情況后�,工業(yè)和信息化部隨即發(fā)布關(guān)于調(diào)查兩款移動應(yīng)用軟件的通報(bào),引起社會民眾的廣泛關(guān)注��。中國信息通信研究院泰爾終端實(shí)驗(yàn)室也隨即對兩款應(yīng)用軟件開展了測試與評估研究�����。
一����、軟件的工作模式
“WiFi萬能鑰匙”和“WiFi鑰匙”是目前被廣泛使用的Wi-Fi熱點(diǎn)分享軟件��。用戶通過軟件的分享功能上傳Wi-Fi密碼到后臺服務(wù)器����,在其他用戶連接同一Wi-Fi熱點(diǎn)時(shí)能夠從軟件的后臺服務(wù)器密碼庫中進(jìn)行密碼匹配��,實(shí)現(xiàn)自動連接網(wǎng)絡(luò)的功能�。
二���、安全風(fēng)險(xiǎn)
目前�����,社會上有一種觀點(diǎn):Wi-Fi熱點(diǎn)分享是共享經(jīng)濟(jì)的一種創(chuàng)新����,但是這種分享模式存在一些風(fēng)險(xiǎn)�����。首先����,雖然Wi-Fi熱點(diǎn)分享看上去是用戶的主動意愿��,但應(yīng)用軟件并沒有向用戶明確密碼分享過程和其背后可能存在的風(fēng)險(xiǎn)����,提供的“用戶協(xié)議”十分模糊��,沒有尊重用戶的知情權(quán)��。第二����,應(yīng)用軟件本身沒有區(qū)分和驗(yàn)證分享的Wi-Fi密碼是否由熱點(diǎn)的搭建者或持有者(以下稱為“主人”)主動進(jìn)行分享的,若其他人故意或惡意將Wi-Fi密碼分享出來�,不僅會給Wi-Fi熱點(diǎn)的主人帶來經(jīng)濟(jì)利益的損失,也會給Wi-Fi用戶帶來安全風(fēng)險(xiǎn)���。
雖然“WiFi萬能鑰匙”和“WiFi鑰匙”本身不具備直接進(jìn)入Wi-Fi路由器后臺獲取用戶數(shù)據(jù)的能力���,但軟件的使用者連接Wi-Fi熱點(diǎn)將會與主人處于同一個(gè)局域網(wǎng)內(nèi)且未經(jīng)主人允許,這將會帶來隱私泄露的風(fēng)險(xiǎn):
1���、同一局域網(wǎng)內(nèi)用戶都可以嘗試去登錄Wi-Fi路由器內(nèi)部�,獲取Wi-Fi主人的用戶信息���,例如賬戶�、身份等信息。
2�、Wi-Fi主人可以用技術(shù)手段獲得同一局域網(wǎng)內(nèi)其他用戶的信息,例如賬戶����、身份等信息。
由此可見��,用戶和Wi-Fi主人承擔(dān)著共同的安全風(fēng)險(xiǎn)��,也就是說用戶在“蹭網(wǎng)”的同時(shí)�����,也要承擔(dān)“被蹭”的風(fēng)險(xiǎn)��。特別是個(gè)人用戶在一些企業(yè)內(nèi)部熱點(diǎn)登錄后��,很可能將內(nèi)部的熱點(diǎn)密碼分享至公網(wǎng)��,這將會對企業(yè)內(nèi)部的網(wǎng)絡(luò)安全及信息保密帶來巨大的影響�����。
除此之外��,“WiFi鑰匙”還提供了“額外”的功能�����。
用戶能夠?qū)ξ粗猈i-Fi熱點(diǎn)密碼進(jìn)行猜測并匹配30次���。未修改初始密碼或習(xí)慣使用弱密碼的用戶要十分注意�,您所設(shè)置的Wi-Fi熱點(diǎn)密碼就這樣被“破解”了����。
“WiFi鑰匙”為使用root手機(jī)的用戶提供密碼查看功能,用戶可直接查看別人分享過的Wi-Fi熱點(diǎn)密碼����,造成了用戶密碼信息泄露,給用戶帶來不可估量的安全風(fēng)險(xiǎn)��。大多數(shù)人的密碼會選擇生日�、手機(jī)號等特征數(shù)字,攻擊者可利用特征數(shù)字作為用戶特征攻擊其他的相關(guān)賬戶��,例如通過手機(jī)號添加微信從而獲得朋友圈信息,因此應(yīng)用軟件萬萬不能提供密碼查看功能�。
三、安全防范
綜上所述��,大多數(shù)人使用“WiFi萬能鑰匙”和“WiFi鑰匙”等應(yīng)用軟件的初衷是為了獲取免費(fèi)網(wǎng)絡(luò)的便利�。然而,獲取這種便利的前提是以自己的隱私作為“敲門磚”���,用隱私獲取便利的行為往往是得不償失��,同時(shí)是對WiFi主人財(cái)產(chǎn)的侵犯���。用戶在面對是否使用此類應(yīng)用軟件的問題時(shí),應(yīng)三思而后行����。為了保護(hù)用戶信息和財(cái)產(chǎn)安全�����,我們強(qiáng)烈建議不使用此類應(yīng)用軟件�。
作為專業(yè)從事信息安全研究、評估�、驗(yàn)證的專業(yè)機(jī)構(gòu),我們提出以下幾個(gè)建議,幫助大家避免Wi-Fi熱點(diǎn)密碼泄露:
不要輕易將自己的Wi-Fi熱點(diǎn)密碼分享給其他人�。
定期修改Wi-Fi熱點(diǎn)密碼、路由器PIN碼��、web后臺登錄密碼����,不要使用自己的手機(jī)號、生日���、姓名�、身份證號等特征數(shù)字作為密碼����。
隱藏Wi-Fi熱點(diǎn)網(wǎng)絡(luò)名稱。在路由器設(shè)置頁面中���,將無線網(wǎng)絡(luò)名稱后面的“隱藏?zé)o線網(wǎng)絡(luò)”開關(guān)打開���。
在公共場所不要隨意連接陌生Wi-Fi熱點(diǎn),特別是不要使用陌生Wi-Fi熱點(diǎn)進(jìn)行網(wǎng)絡(luò)支付等涉及財(cái)產(chǎn)交易的操作��。
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
1�����、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書》
2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21》
3��、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書》
4�、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》》
5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5G NTN技術(shù)白皮書》
6�、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解》
7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動算力并網(wǎng)白皮書》
8���、回復(fù)“5GX3”免費(fèi)領(lǐng)取《 R16 23501-g60 5G的系統(tǒng)架構(gòu)1》
關(guān)注樓主