昨天,工信部发布关于“蹭网”类移动应用程序的通报。通报称,“Wi-Fi万能钥匙”和“Wi-Fi钥匙”这两款移动应用程序具有共享用户所登录Wi-Fi网络密码等信息的功能。
工信部的通报,将一个用户数比微信还多、打着“共享经济”旗号的“蹭网”App推到了聚光灯下。网络案例专家提醒,别再“蹭网”了,蹭网就意味着你在网络世界里“裸奔”。
“蹭网神器”被曝窃取Wi-Fi密码
工信部通报中提到的“Wi-Fi万能钥匙”,是鼎鼎有名的“蹭网神器”,常年霸占App下载排行榜前三名。早在2016年6月,它在全球就拥有9亿多注册用户,覆盖223个国家及地区。而在当年年末,微信全球注册用户还不到9亿。
这个手机软件能干吗?帮你蹭网,也就是免费连接周边加密的Wi-Fi网络。在Wi-Fi万能钥匙的官网上,这样描述其愿景:“消除数字鸿沟,让全世界人民免费上网”,并声称要打造“全球网络共享平台”。
然而,这个看上去像“雷锋”的手机软件,近日被央视《经济半小时》曝光,存在窃取他人Wi-Fi密码情况,无论是个人的Wi-Fi热点,还是商场、外交大楼及金融机构,均可轻松攻破。它甚至能进入他人路由器后台,查看和修改用户信息。
截至发稿,两款软件都可以正常下载。
共享Wi-Fi
瑞星网络安全专家唐威在接受快报记者采访时解释了蹭网软件的技术原理:首先,用户A将自己所在位置已经连接成功的Wi-Fi热点上传分享到蹭网软件的云端,分享的信息包含热点名称、用户名、密码等。
当用户B到达该区域,扫描到用户A分享的热点信息时,蹭网软件云端会匹配相应的密码返回给该用户使用。这样,用户B就成功连接了该Wi-Fi热点。
最后的结果就是,你可以免费蹭到任何一个连接过蹭网软件的Wi-Fi网络,而全世界任意一个手机里安装了这类工具的人,只要经过你家附近,不管有没有跟你打招呼,是不是你的熟人朋友,也可以随意连接你家的路由器,随便蹭网。
蹭网就相当于裸奔
唐威说,使用这类工具的用户,由于网络用户名和密码泄露,黑客可直接登录家里的Wi-Fi网络,进而对Wi-Fi路由器以及网内其他联网的手机、平板、电脑发动攻击或植入病毒,然后就可以监控到网内设备的上网信息,包含支付、聊天、照片等。
而当你蹭网时,黑客可以布设钓鱼Wi-Fi,一旦你不幸中招,你手机的所有上网流量都会被监视,你手机里的秘密就有暴露的危险。
推荐阅读:
对于企业来说,危害更大,黑客可以直接进入企业内网,通过技术手段入侵员工的电脑、公司的服务器,进而导致商业机密泄露,电脑或服务器遭到攻击等。
他介绍,去年袭击全球的WannaCry勒索病毒,就是通过这种方式入侵的。
唐威说,即使没有遭受黑客攻击,使用这类工具,也存在个人信息泄露的风险。他查看过几款此类软件的使用条款,发现大多有收集用户个人信息的权限,包括用户使用手机的设备信息、使用服务器的IP地址、GPS定位等,有的甚至要求用户提供身份、手机号码等隐私信息。
对于一个蹭网工具来说,这些个人信息其实是不必要的,那为什么要收集呢?他分析是卖给第三方,以提供所谓的“广告精准投放”。
在央视《经济半小时》的报道中,就提到了“Wi-Fi万能钥匙”利用用户信息进行广告投放的情况。
事实上,蹭网软件正是靠这个大发其财。2015年初,“Wi-Fi万能钥匙”购买了几十辆特斯拉,用于奖励员工,当时曾掀起轩然大波。
“那些蹭网的用户,就好像自己被别人卖了,还帮人家数钱。”唐威说。
不蹭网,改密码,关闭SSID
如果你用过这类工具,然后就要修改家里路由器的设置,更换全新的用户名和密码,网关的用户名和密码也要修改,不要使用出厂设置。如果路由器有访客功能,可以打开,供客人使用。或者配置路由器的黑白名单,绑定联网设备的MAC地址,只允许指定的设备连接。
如果不想被别人蹭网,可以将路由器中的SSID广播功能关闭,这样其他人搜索网络时,就看不到你家的Wi-Fi信号。
对于企业来说,防范思路是一样的。首先要使用安全等级更高的企业级路由器,并对连接到内网的设备进行身份验证,只允许授权过的设备连接到内网。配置访客专用的Wi-Fi,和办公内网隔离。
推荐阅读: