比思論壇
標題: “WiFi万能钥匙”损人利己 威胁网络安全 [打印本頁]
作者: 2726037212 時間: 2015-11-5 21:16
標題: “WiFi万能钥匙”损人利己 威胁网络安全
10月24日,中国上海,GeekPwn国际黑客挑战赛现场,各路高手云集,先后攻破40多款主流软硬件产品,移动网络支付不堪一击,智能家居设备一网打尽,安全屏障似乎形同虚设,令人印象相当深刻。
然而,这并非全部真相。事实上,现场演示的大部分攻击行为有一个共同前提条件:攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络(俗称内网),在网络传输层构筑了一道安全边界,但网内设备间高度互信,从内部发起定向的网络监听和劫持等攻击行为易如反掌。正所谓,日防夜防,内贼难防。 由此可见,如果把这种高度互信关系随意传递给陌生人,形同引狼入室,整个网络就不安全了,恶意攻击者可能轻松盗用存款、偷窥爱情,甚至扰乱工作和生活秩序。正因为如此,安全专家普遍建议慎用公共场所提供的WiFi热点,而家庭或工作单位WiFi热点仅授权给相互信任的亲属、朋友或同事,只要连接密码足够复杂,并定期更改密码,基本可以放心使用。总之,在公共场所不要随意“蹭网”,更不要给陌生人“蹭网”机会。
黑客和小偷的得力助手
不幸的是,2012年,“WiFi万能钥匙”横空出世,专干窃取并出卖WiFi热点连接密码的勾当,美其名曰“热点分享”,鼓动全民“蹭网”。从那时起,只要有人使用“WiFi万能钥匙”连接过某WiFi热点,其连接密码——打开网络大门的“钥匙”就随时可能被有意或无意地上传到“WiFi万能钥匙”的服务器,随后由其服务器偷偷散发给该热点附近的其他用户,允许他们在未知连接密码、未获授权的情况下自由接入。
WiFi万能钥匙,盛大网络董事长兼CEO陈天桥及其首席运营官陈大年联手打造,宣称“我们希望通过构建WiFi万能钥匙这样一个互帮互助、和衷共济的热点分享平台,让免费上网有机会成为所有人的权利”。听起来很高大上的样子,而且富有互联网精神——“分享”嘛。既然如此高大上,为何不构建一个“盛大网游万能钥匙”分享盛大网游账号密码,让免费游戏也有机会成为所有人的权利?
接入互联网需要成本,更需要防范风险,只有获得信任授权的用户才能使用家庭或工作单位的WiFi热点,至于那些公共场所的免费WiFi热点则属于开放授权,几乎人人可以获取连接密码,无所谓信任。因此,“WiFi万能钥匙”严重威胁家庭和工作单位基于WiFi热点构建的封闭网络的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷则是指纯粹“蹭网”者。
由于连接WiFi热点需要提供明文密码,即使“WiFi万能钥匙”在收集和分发连接密码时对密码进行加密,也只能使用可逆加密算法,以确保可以在用户端自行解密。这意味着,无论“WiFi万能钥匙”服务器采取多么严密的安全防护措施,其存储的海量WiFi热点均可被定向查询到明文连接密码(本人就实现了一个简单查询工具,当然绝不分享),从这个角度讲它是一个极不负责任的解决方案。
顺便提一句,“WiFi万能钥匙”也是钓鱼WiFi的得力助手:黑客负责在人口密集区组网(需要连接密码),利用“WiFi万能钥匙”分享热点,为其安全性做伪证。嗯,一般认为,需要连接密码的WiFi网络更安全,就会放松警惕……
处心积虑诱导“分享”和暴力破解
对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖,它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。
以WiFi万能钥匙最新版3.3.03为例:
1、 默认设定为连接后即自动分享热点,且分享前不提示;
2、 若用户更改为禁用自动分享热点,在使用密码连接成功后,仍会刻意诱导用户分享,并再次默认启用自动分享;
3、 若无法连接,则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”,实质是基于2000个常见的弱密码进行暴力破解(每次尝试10个,并以尝试新算法为名诱导用户持续爆破,实际算法未变,变的只是密码组),且无论用户是否启用自动分享热点,凡暴力破解成功的热点均强制自动分享;
4、 分享热点时绝不核实用户对WiFi热点所有权或控制权,甚至采取暴力破解等非法手段,但申请取消分享时反而要求提供路由器控制界面截图并发送电子邮件,以自证对WiFi热点的控制权,颠三倒四。
2015年3月,“WiFi万能钥匙”所属公司加入中国计算机行业协会无线网络和网络安全接入技术专业委员会。本人很好奇,该委员会如何评价“WiFi万能钥匙”的上述行为。在本人看来,他们是网络安全的破坏者,不仅没有资格加入该委员会,反而应受到该委员会的警告和制裁。
擅自收集敏感信息
“WiFi万能钥匙”擅自收集以下敏感信息:
1、 用户首次开启时,自动发送注册短信(短信内容前缀为“WOSL”)、自动验证并以当前手机号码为用户名自动登录,事前未询问,事后未主动告知;
2、 收集用户手机识别码(IMEI)、SIM卡识别码(IMSI)和手机无线网卡识别码(MAC)等全部唯一标识,以及所在位置、手机品牌和型号等信息,且均明文传输;
3、 此外,在初始化时收集大量数据加密上传(未深究,暂不确定内容和性质)。
以上敏感信息,除了用户所在位置,其它信息均与其业务毫无关系,且未告知用户,属于侵权行为。
用户对通过可清除的网页cookie追踪其上网行为尚且高度质疑和反感,而“WiFi万能钥匙”却非法获取用户永久性唯一标识(除非更换手机,否则无法摆脱网络追踪),意欲何为?
2015年3月,工信部通信软件评测中心出具检验报告,为“WiFi万能钥匙”背书,声称其“未出现信息窃取等恶意行为”。本人强烈怀疑该中心的评测能力和公信力。
明知故犯 文字游戏规避法律责任
“为确保数据经WiFi传递时不会被盗取,使用者必需为网络进行加密程序,……只有获授权的WiFi客户端,输入加密密钥后,才可以使用WiFi网络上的资源”、“应尽量使用新一代加密技术,及选用长度较长的密码,并以英文字、数字和符号组成;关闭无线网络标识符(SSID)的广播;开启MAC Address过滤功能,只容许获授权的WiFi客户端使用WiFi资源”、“使用者对于不知名的WiFi热点,应该提高警觉,不要随便登入。因为犯罪者可能透过这类网络,窃取使用者所键入的所有数据,……”
——猜猜看,这都是谁说的?不是别人,正是“WiFi万能钥匙”,来自其软件内置的“安全小贴士”。俗话说,无知者无罪。然而,“WiFi万能钥匙”非常清楚如何确保WiFi网络安全,但他们怎么做的呢?他们专业提供非法连接和侵入他人WiFi网络的工具。
《WiFi万能钥匙服务协议》声称:
“用户自行决定提供和分享自有WiFi热点信息,或保证分享的其它热点信息(包括但不限于密码和地理位置等)在热点提供者的许可范围内以内,并保证分享的所有WiFi热点的信息安全。” ——如果“WiFi万能钥匙”去做房产中介,是不是只要卖房者自行保证对房产的所有权即可,无需出示房产证?如果配钥匙的偷偷复制客户房门钥匙,并偷偷送给客户的所有邻居使用,发表一个“不关我事,我不知道钥匙是否可用,也没开过他家门锁”的声明即可?
“热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息。WiFi万能钥匙将按照法律规定予以相应处理。”
——只提“由其提供”,对于更普遍的由他人非法提供则绝口不提。至于“按照法律规定”,不知道是谁家的法律?根据《民法通则》第五十八条,恶意串通,损害第三人利益的,或以合法形式掩盖非法目的的行为,是无效的。“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益,且“WiFi万能钥匙”是主要受益人(攫取巨大商业利益),明显违法侵权在先,却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。
防火,防盗,防“WiFi万能钥匙”
怎么防?办法总比困难多:
1、 杀手锏:启用MAC地址过滤(即使密码正确也无法接入);
2、 定期更改WiFi热点连接密码,使用复杂密码以防暴力破解;
3、 启用客户端隔离(大部分在用的家庭无线路由器不支持,建议升级换代);
4、 代客人操作WiFi连接,不告知其密码,以免对方通过“WiFi万能钥匙”连接
作者: 黄容 時間: 2015-11-7 10:27
不看不知道,看了吓一跳。
安全上网很重要。
作者: SilentEyes 時間: 2015-11-7 17:10
太哀求了 呵呵呵
作者: 251054306 時間: 2015-11-7 19:59
这东西泄露了多少密码啊
作者: KEY2 時間: 2015-11-7 20:05
这样的 学习了
作者: 乜风 時間: 2015-11-7 20:17
我重来都是共享别人的 自家 不共享
作者: zhangjnn 時間: 2015-11-7 20:24
用万能钥匙最后害的还是自己
作者: jk775754893 時間: 2015-11-7 20:29
有事没事改改密码
作者: 靓仔男 時間: 2015-11-7 20:37
何必呢,好讨厌蹭网的
作者: fcjxgd 時間: 2015-11-7 21:03
不看不知道,看了吓一跳。
安全上网很重要。
作者: fcjxgd 時間: 2015-11-7 21:03
真是不要脸
这样的 学习了
作者: fcjxgd 時間: 2015-11-7 21:03
太哀求了 呵呵呵
作者: fcjxgd 時間: 2015-11-7 21:05
“WiFi万能钥匙”损人利己 威胁网络安全
作者: fcjxgd 時間: 2015-11-7 21:05
“WiFi万能钥匙”损人利己 威胁网络安全
“WiFi万能钥匙”损人利己 威胁网络安全
作者: fcjxgd 時間: 2015-11-7 21:06
“WiFi万能钥匙”损人利己 威胁网络安全
“WiFi万能钥匙”损人利己 威胁网络安全
“WiFi万能钥匙”损人利己 威胁网络安全
作者: fcjxgd 時間: 2015-11-7 21:06
重要的事情说三遍
作者: lin3602526 時間: 2015-11-7 21:19
为毛能流传这么广?
作者: zhang888 時間: 2015-11-7 21:20
一直在用的一款软件
作者: zuoluozhijian 時間: 2015-11-7 21:35
提示: 作者被禁止或刪除 內容自動屏蔽
作者: zuoluozhijian 時間: 2015-11-7 21:36
提示: 作者被禁止或刪除 內容自動屏蔽
作者: zuoluozhijian 時間: 2015-11-7 21:37
提示: 作者被禁止或刪除 內容自動屏蔽
作者: zuoluozhijian 時間: 2015-11-7 21:38
提示: 作者被禁止或刪除 內容自動屏蔽
作者: 6348405 時間: 2015-11-7 21:39
爱,这是俄方的看法
作者: scar929 時間: 2015-11-7 21:43
这个专门泄露密码
作者: bingsi336 時間: 2015-11-7 21:44
他们是网络安全的破坏者
作者: kk8875869 時間: 2015-11-7 22:09
有时被人偷网络也挺无奈的
作者: fangsun245 時間: 2015-11-7 22:18
这种现象能禁止的了吗?谁都在用
作者: fengyueyiran 時間: 2015-11-7 22:21
果断不能随便连wifi啊
作者: sichuanfjl 時間: 2015-11-7 22:24
注意网络安全。。。。其实一般家庭的,没几个偷。。。
作者: xikexiu 時間: 2015-11-7 22:45
被人占用WIFI很烦的
作者: lejizhe 時間: 2015-11-7 23:11
享受成果 就得承担后果
作者: qiuqiu001 時間: 2015-11-7 23:50
感觉听无耻的。。。。
作者: knk2 時間: 2015-11-8 00:03
太恶心了啊
作者: shiyang512 時間: 2015-11-8 00:05
我基本不用餐厅之类的公共wifi
作者: zengshuai10 時間: 2015-11-8 00:57
天底下没有免费的午餐。
作者: wyc525209948 時間: 2015-11-8 01:26
有利有弊,真的会干那种事的也就心术不正
作者: 雷,阿伦 時間: 2015-11-8 02:57
好危险,天天生活在没有秘密的世界
作者: li980 時間: 2015-11-8 07:25
对自己手机也不怎么安全吧,把自己有的WIFI密码都自动和其他用户分享的
作者: 疯狂小浪徒2号 時間: 2015-11-8 07:33
想来这软件也已经收集不少的信息了
作者: NO7MOON 時間: 2015-11-8 07:37
不看不知道,看了吓一跳。
作者: ldxyz1987 時間: 2015-11-8 07:47
谢谢
作者: st5446448 時間: 2015-11-8 07:50
我是受益者,我不想说话
作者: mwj 時間: 2015-11-8 07:55
网贼无孔不入,可怕
作者: ydd1234 時間: 2015-11-8 08:09
原来如此,真强悍
作者: wen狼 時間: 2015-11-8 09:14
用自己的网就好了
作者: shejishiwangyi 時間: 2015-11-8 09:25
原来是盛大这烂JB搞得,真尼玛不要脸
作者: tt562658791 時間: 2015-11-8 09:48
好软基纳啊啊
作者: 巴斯达飞 時間: 2015-11-8 10:28
真是不要脸
作者: wangtianyun 時間: 2015-11-8 13:44
不看不知道,看了吓一跳。
作者: 汉武大帝qawz 時間: 2015-11-8 13:44
恐怖啊
作者: 18899657671 時間: 2015-11-8 14:06
垃圾万能钥匙 自动上传自家密码 以后和别人共享
作者: 胖九哥 時間: 2015-11-8 14:31
这个东西有时候确实很好用,出差的时候流量不够了,如果有网基本上都可以蹭一下的,或者有些小众的地方,都能上,甚至连一些家庭的都可以上,但是也确实存在着相当大的漏洞!
作者: boyhan 時間: 2015-11-8 15:05
还有这种事情?
作者: l297306742 時間: 2015-11-8 16:25
太狠了上网真的要注意安全啊
作者: 278873924 時間: 2015-11-8 16:54
一般家用WIFI都是隐藏SSID,想用我家WIFI ,先得搜的到!!!
作者: penne 時間: 2015-11-8 17:40
本来血不多。又来了个蚊子
作者: axel2002 時間: 2015-11-8 19:23
政府在网络监管这一方面做得还是不足
作者: zxc111160 時間: 2015-11-8 21:02
不明白~~
作者: qpalzmqaz 時間: 2015-11-8 21:36
这东西泄露了多少密码啊
作者: twinsno 時間: 2015-11-8 21:52
享受成果 就得承担后果
作者: disigaga 時間: 2015-11-8 22:23
了解过万能钥匙的工作原理。
作者: 799135383 時間: 2015-11-8 22:35
享受成果 就得承担后果
作者: nanguozhiduan 時間: 2015-11-8 22:38
实在是很牛逼
作者: xz139726845 時間: 2015-11-8 22:40
自家路由求用MAC过滤,给你密码也进不了
作者: fallstar 時間: 2015-11-8 22:53
免费蹭网本就有偷盗嫌疑` 只是利用人之贪欲罢了`
作者: 彼岸~未雨 時間: 2015-11-9 00:19
长知识了
作者: yuan7734 時間: 2015-11-9 00:35
还从没用过
作者: 缺氧的水鱼 時間: 2015-11-9 00:39
自己不不会设置怪谁
作者: lyc315 時間: 2015-11-9 00:40
呵呵 陈天桥这个坑货
作者: tsukinomiko 時間: 2015-11-9 00:41
太长只看一段!
作者: mjzzxxxxx 時間: 2015-11-9 00:44
感觉还是很有道理呀
作者: hao448668218 時間: 2015-11-9 00:48
学子了。
作者: 静默温柔 時間: 2015-11-9 02:19
哪有吗么多不安全!
作者: 西后门君 時間: 2015-11-9 05:47
但是很方便啊
作者: wd15164318919 時間: 2015-11-9 07:56
网络安全极其重要
作者: sjdd99 時間: 2015-11-9 08:32
反正有人会用
作者: 64061114 時間: 2015-11-9 08:39
代客人操作WiFi连接,不告知其密码,以免对方通过“WiFi万能钥匙”连接
作者: donatellonmy 時間: 2015-11-9 09:16
为什么我就没成功过?
作者: zengke888 時間: 2015-11-9 09:29
这个确实有问题,还到处做广告
作者: 82993231 時間: 2015-11-9 09:47
国家今应该禁止这样的软件
作者: xiangfan110 時間: 2015-11-9 10:04
没耐心看完
作者: 科姐 時間: 2015-11-9 10:10
天下没有免费的午餐
作者: WJoe 時間: 2015-11-9 10:21
在外流量贵,只能蹭蹭
作者: 小怪明 時間: 2015-11-9 10:37
厉害 这些人 顶
作者: xiaoyaowuwai 時間: 2015-11-9 10:45
不知道的WIFI最好还是不要连了
作者: tytyty056 時間: 2015-11-9 10:50
这个不好说它是一个什么 性质,但我觉得以后会朝手机可以无限制流量的时代进发,那时WiFi也没有用了。因为有些国家已经无限制流量了。
作者: xson_chen 時間: 2015-11-9 11:01
学习了!
作者: winson2012 時間: 2015-11-9 11:08
天下没有免费的午餐!
作者: 冰上人人看人 時間: 2015-11-9 11:21
有时有用的,
作者: wstyyq 時間: 2015-11-9 11:23
早就知道了,我申请取消分享,石沉大海,后来只能采取隐藏ssid的方法避免别人蹭网
作者: df80760 時間: 2015-11-9 12:07
学习le。。。
作者: KakingXu 時間: 2015-11-9 14:42
以后和别人共享
作者: 飞行家 時間: 2015-11-9 14:48
原来如此
作者: huso-1 時間: 2015-11-9 15:10
WiFi万能钥匙并不好使
作者: 101445427 時間: 2015-11-9 15:31
楼主有道理
作者: KakingXu 時間: 2015-11-9 16:34
损人利己
作者: 767940213 時間: 2015-11-9 18:16
这东西泄露了多少密码啊
作者: 1919178837a 時間: 2015-11-9 18:17
这软件 把自己家的wifi都破解了 就因为手机上有这个软件密码自动分享给别人了
作者: alskalz 時間: 2015-11-9 18:22
不告知其密码
作者: 疯小楼 時間: 2015-11-9 18:26
定期更改WiFi热点连接密码,使用复杂密码以防暴力破解我这里反正就是不24小时开WIFI的 别人想上我就关它一下
歡迎光臨 比思論壇 (http://108.170.10.237/) |
Powered by Discuz! X2.5 |