本文來自泰爾終端實驗室

　　3月29日，央視《經(jīng)濟半小時》欄目曝光了“WiFi萬能鑰匙”和“WiFi鑰匙”兩款應用軟件竊取Wi-Fi密碼情況后，工業(yè)和信息化部隨即發(fā)布關(guān)于調(diào)查兩款移動應用軟件的通報，引起社會民眾的廣泛關(guān)注。中國信息通信研究院泰爾終端實驗室也隨即對兩款應用軟件開展了測試與評估研究。

　　一、軟件的工作模式

　　“WiFi萬能鑰匙”和“WiFi鑰匙”是目前被廣泛使用的Wi-Fi熱點分享軟件。用戶通過軟件的分享功能上傳Wi-Fi密碼到后臺服務器，在其他用戶連接同一Wi-Fi熱點時能夠從軟件的后臺服務器密碼庫中進行密碼匹配，實現(xiàn)自動連接網(wǎng)絡(luò)的功能。

　　二、安全風險

　　目前，社會上有一種觀點：Wi-Fi熱點分享是共享經(jīng)濟的一種創(chuàng)新，但是這種分享模式存在一些風險。首先，雖然Wi-Fi熱點分享看上去是用戶的主動意愿，但應用軟件并沒有向用戶明確密碼分享過程和其背后可能存在的風險，提供的“用戶協(xié)議”十分模糊，沒有尊重用戶的知情權(quán)。第二，應用軟件本身沒有區(qū)分和驗證分享的Wi-Fi密碼是否由熱點的搭建者或持有者（以下稱為“主人”）主動進行分享的，若其他人故意或惡意將Wi-Fi密碼分享出來，不僅會給Wi-Fi熱點的主人帶來經(jīng)濟利益的損失，也會給Wi-Fi用戶帶來安全風險。

　　雖然“WiFi萬能鑰匙”和“WiFi鑰匙”本身不具備直接進入Wi-Fi路由器后臺獲取用戶數(shù)據(jù)的能力，但軟件的使用者連接Wi-Fi熱點將會與主人處于同一個局域網(wǎng)內(nèi)且未經(jīng)主人允許，這將會帶來隱私泄露的風險：

　　1、同一局域網(wǎng)內(nèi)用戶都可以嘗試去登錄Wi-Fi路由器內(nèi)部，獲取Wi-Fi主人的用戶信息，例如賬戶、身份等信息。

　　2、Wi-Fi主人可以用技術(shù)手段獲得同一局域網(wǎng)內(nèi)其他用戶的信息，例如賬戶、身份等信息。

　　由此可見，用戶和Wi-Fi主人承擔著共同的安全風險，也就是說用戶在“蹭網(wǎng)”的同時，也要承擔“被蹭”的風險。特別是個人用戶在一些企業(yè)內(nèi)部熱點登錄后，很可能將內(nèi)部的熱點密碼分享至公網(wǎng)，這將會對企業(yè)內(nèi)部的網(wǎng)絡(luò)安全及信息保密帶來巨大的影響。

　　除此之外，“WiFi鑰匙”還提供了“額外”的功能。

• 猜密碼

　　用戶能夠?qū)ξ粗猈i-Fi熱點密碼進行猜測并匹配30次。未修改初始密碼或習慣使用弱密碼的用戶要十分注意，您所設(shè)置的Wi-Fi熱點密碼就這樣被“破解”了。

• 查看密碼

• 
  

　　“WiFi鑰匙”為使用root手機的用戶提供密碼查看功能，用戶可直接查看別人分享過的Wi-Fi熱點密碼，造成了用戶密碼信息泄露，給用戶帶來不可估量的安全風險。大多數(shù)人的密碼會選擇生日、手機號等特征數(shù)字，攻擊者可利用特征數(shù)字作為用戶特征攻擊其他的相關(guān)賬戶，例如通過手機號添加微信從而獲得朋友圈信息，因此應用軟件萬萬不能提供密碼查看功能。

　　三、安全防范

　　綜上所述，大多數(shù)人使用“WiFi萬能鑰匙”和“WiFi鑰匙”等應用軟件的初衷是為了獲取免費網(wǎng)絡(luò)的便利。然而，獲取這種便利的前提是以自己的隱私作為“敲門磚”，用隱私獲取便利的行為往往是得不償失，同時是對WiFi主人財產(chǎn)的侵犯。用戶在面對是否使用此類應用軟件的問題時，應三思而后行。為了保護用戶信息和財產(chǎn)安全，我們強烈建議不使用此類應用軟件。

　　作為專業(yè)從事信息安全研究、評估、驗證的專業(yè)機構(gòu)，我們提出以下幾個建議，幫助大家避免Wi-Fi熱點密碼泄露：

• 不要輕易將自己的Wi-Fi熱點密碼分享給其他人。

• 定期修改Wi-Fi熱點密碼、路由器PIN碼、web后臺登錄密碼，不要使用自己的手機號、生日、姓名、身份證號等特征數(shù)字作為密碼。

• 隱藏Wi-Fi熱點網(wǎng)絡(luò)名稱。在路由器設(shè)置頁面中，將無線網(wǎng)絡(luò)名稱后面的“隱藏無線網(wǎng)絡(luò)”開關(guān)打開。

• 在公共場所不要隨意連接陌生Wi-Fi熱點，特別是不要使用陌生Wi-Fi熱點進行網(wǎng)絡(luò)支付等涉及財產(chǎn)交易的操作。