“WiFi萬能鑰匙”損人利己 威脅網(wǎng)絡(luò)安全

責(zé)任編輯:editor007

作者:Sockets

2015-11-01 21:49:50

摘自:百度百家

利用“WiFi萬能鑰匙”分享熱點(diǎn),為其安全性做偽證。2、 若用戶更改為禁用自動(dòng)分享熱點(diǎn),在使用密碼連接成功后,仍會(huì)刻意誘導(dǎo)用戶分享,并再次默認(rèn)啟用自動(dòng)分享;

10月24日,中國上海,GeekPwn國際黑客挑戰(zhàn)賽現(xiàn)場,各路高手云集,先后攻破40多款主流軟硬件產(chǎn)品,移動(dòng)網(wǎng)絡(luò)支付不堪一擊,智能家居設(shè)備一網(wǎng)打盡,安全屏障似乎形同虛設(shè),令人印象相當(dāng)深刻。

然而,這并非全部真相。事實(shí)上,現(xiàn)場演示的大部分攻擊行為有一個(gè)共同前提條件:攻擊者和被攻擊者接入同一個(gè)WiFi熱點(diǎn)。若干設(shè)備連接同一個(gè)WiFi熱點(diǎn)組成的本地網(wǎng)絡(luò)(俗稱內(nèi)網(wǎng)),在網(wǎng)絡(luò)傳輸層構(gòu)筑了一道安全邊界,但網(wǎng)內(nèi)設(shè)備間高度互信,從內(nèi)部發(fā)起定向的網(wǎng)絡(luò)監(jiān)聽和劫持等攻擊行為易如反掌。正所謂,日防夜防,內(nèi)賊難防。

由此可見,如果把這種高度互信關(guān)系隨意傳遞給陌生人,形同引狼入室,整個(gè)網(wǎng)絡(luò)就不安全了,惡意攻擊者可能輕松盜用存款、偷窺愛情,甚至擾亂工作和生活秩序。正因?yàn)槿绱耍踩珜<移毡榻ㄗh慎用公共場所提供的WiFi熱點(diǎn),而家庭或工作單位WiFi熱點(diǎn)僅授權(quán)給相互信任的親屬、朋友或同事,只要連接密碼足夠復(fù)雜,并定期更改密碼,基本可以放心使用??傊?,在公共場所不要隨意“蹭網(wǎng)”,更不要給陌生人“蹭網(wǎng)”機(jī)會(huì)。

黑客和小偷的得力助手

不幸的是,2012年,“WiFi萬能鑰匙”橫空出世,專干竊取并出賣WiFi熱點(diǎn)連接密碼的勾當(dāng),美其名曰“熱點(diǎn)分享”,鼓動(dòng)全民“蹭網(wǎng)”。從那時(shí)起,只要有人使用“WiFi萬能鑰匙”連接過某WiFi熱點(diǎn),其連接密碼——打開網(wǎng)絡(luò)大門的“鑰匙”就隨時(shí)可能被有意或無意地上傳到“WiFi萬能鑰匙”的服務(wù)器,隨后由其服務(wù)器偷偷散發(fā)給該熱點(diǎn)附近的其他用戶,允許他們在未知連接密碼、未獲授權(quán)的情況下自由接入。

WiFi萬能鑰匙,盛大網(wǎng)絡(luò)董事長兼CEO陳天橋及其首席運(yùn)營官陳大年聯(lián)手打造,宣稱“我們希望通過構(gòu)建WiFi萬能鑰匙這樣一個(gè)互幫互助、和衷共濟(jì)的熱點(diǎn)分享平臺(tái),讓免費(fèi)上網(wǎng)有機(jī)會(huì)成為所有人的權(quán)利”。聽起來很高大上的樣子,而且富有互聯(lián)網(wǎng)精神——“分享”嘛。既然如此高大上,為何不構(gòu)建一個(gè)“盛大網(wǎng)游萬能鑰匙”分享盛大網(wǎng)游賬號(hào)密碼,讓免費(fèi)游戲也有機(jī)會(huì)成為所有人的權(quán)利?

接入互聯(lián)網(wǎng)需要成本,更需要防范風(fēng)險(xiǎn),只有獲得信任授權(quán)的用戶才能使用家庭或工作單位的WiFi熱點(diǎn),至于那些公共場所的免費(fèi)WiFi熱點(diǎn)則屬于開放授權(quán),幾乎人人可以獲取連接密碼,無所謂信任。因此,“WiFi萬能鑰匙”嚴(yán)重威脅家庭和工作單位基于WiFi熱點(diǎn)構(gòu)建的封閉網(wǎng)絡(luò)的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷則是指純粹“蹭網(wǎng)”者。

由于連接WiFi熱點(diǎn)需要提供明文密碼,即使“WiFi萬能鑰匙”在收集和分發(fā)連接密碼時(shí)對密碼進(jìn)行加密,也只能使用可逆加密算法,以確??梢栽谟脩舳俗孕薪饷?。這意味著,無論“WiFi萬能鑰匙”服務(wù)器采取多么嚴(yán)密的安全防護(hù)措施,其存儲(chǔ)的海量WiFi熱點(diǎn)均可被定向查詢到明文連接密碼(本人就實(shí)現(xiàn)了一個(gè)簡單查詢工具,當(dāng)然絕不分享),從這個(gè)角度講它是一個(gè)極不負(fù)責(zé)任的解決方案。

順便提一句,“WiFi萬能鑰匙”也是釣魚WiFi的得力助手:黑客負(fù)責(zé)在人口密集區(qū)組網(wǎng)(需要連接密碼),利用“WiFi萬能鑰匙”分享熱點(diǎn),為其安全性做偽證。嗯,一般認(rèn)為,需要連接密碼的WiFi網(wǎng)絡(luò)更安全,就會(huì)放松警惕……

處心積慮誘導(dǎo)“分享”和暴力破解

對于家庭或工作單位WiFi熱點(diǎn),“WiFi萬能鑰匙”的行為不是分享,而是竊取和出賣,它粗暴侵犯了WiFi熱點(diǎn)主人的知情權(quán)、同意權(quán)和財(cái)產(chǎn)權(quán)。

以WiFi萬能鑰匙最新版3.3.03為例:

1、 默認(rèn)設(shè)定為連接后即自動(dòng)分享熱點(diǎn),且分享前不提示;

2、 若用戶更改為禁用自動(dòng)分享熱點(diǎn),在使用密碼連接成功后,仍會(huì)刻意誘導(dǎo)用戶分享,并再次默認(rèn)啟用自動(dòng)分享;

3、 若無法連接,則以幫助WiFi熱點(diǎn)主人“找回密碼”為名進(jìn)行所謂“深度連接”,實(shí)質(zhì)是基于2000個(gè)常見的弱密碼進(jìn)行暴力破解(每次嘗試10個(gè),并以嘗試新算法為名誘導(dǎo)用戶持續(xù)爆破,實(shí)際算法未變,變的只是密碼組),且無論用戶是否啟用自動(dòng)分享熱點(diǎn),凡暴力破解成功的熱點(diǎn)均強(qiáng)制自動(dòng)分享;

4、 分享熱點(diǎn)時(shí)絕不核實(shí)用戶對WiFi熱點(diǎn)所有權(quán)或控制權(quán),甚至采取暴力破解等非法手段,但申請取消分享時(shí)反而要求提供路由器控制界面截圖并發(fā)送電子郵件,以自證對WiFi熱點(diǎn)的控制權(quán),顛三倒四。

2015年3月,“WiFi萬能鑰匙”所屬公司加入中國計(jì)算機(jī)行業(yè)協(xié)會(huì)無線網(wǎng)絡(luò)和網(wǎng)絡(luò)安全接入技術(shù)專業(yè)委員會(huì)。本人很好奇,該委員會(huì)如何評價(jià)“WiFi萬能鑰匙”的上述行為。在本人看來,他們是網(wǎng)絡(luò)安全的破壞者,不僅沒有資格加入該委員會(huì),反而應(yīng)受到該委員會(huì)的警告和制裁。

擅自收集敏感信息

“WiFi萬能鑰匙”擅自收集以下敏感信息:

1、 用戶首次開啟時(shí),自動(dòng)發(fā)送注冊短信(短信內(nèi)容前綴為“WOSL”)、自動(dòng)驗(yàn)證并以當(dāng)前手機(jī)號(hào)碼為用戶名自動(dòng)登錄,事前未詢問,事后未主動(dòng)告知;

2、 收集用戶手機(jī)識(shí)別碼(IMEI)、SIM卡識(shí)別碼(IMSI)和手機(jī)無線網(wǎng)卡識(shí)別碼(MAC)等全部唯一標(biāo)識(shí),以及所在位置、手機(jī)品牌和型號(hào)等信息,且均明文傳輸;

3、 此外,在初始化時(shí)收集大量數(shù)據(jù)加密上傳(未深究,暫不確定內(nèi)容和性質(zhì))。

以上敏感信息,除了用戶所在位置,其它信息均與其業(yè)務(wù)毫無關(guān)系,且未告知用戶,屬于侵權(quán)行為。

用戶對通過可清除的網(wǎng)頁cookie追蹤其上網(wǎng)行為尚且高度質(zhì)疑和反感,而“WiFi萬能鑰匙”卻非法獲取用戶永久性唯一標(biāo)識(shí)(除非更換手機(jī),否則無法擺脫網(wǎng)絡(luò)追蹤),意欲何為?

2015年3月,工信部通信軟件評測中心出具檢驗(yàn)報(bào)告,為“WiFi萬能鑰匙”背書,聲稱其“未出現(xiàn)信息竊取等惡意行為”。本人強(qiáng)烈懷疑該中心的評測能力和公信力。

明知故犯 文字游戲規(guī)避法律責(zé)任

“為確保數(shù)據(jù)經(jīng)WiFi傳遞時(shí)不會(huì)被盜取,使用者必需為網(wǎng)絡(luò)進(jìn)行加密程序,……只有獲授權(quán)的WiFi客戶端,輸入加密密鑰后,才可以使用WiFi網(wǎng)絡(luò)上的資源”、“應(yīng)盡量使用新一代加密技術(shù),及選用長度較長的密碼,并以英文字、數(shù)字和符號(hào)組成;關(guān)閉無線網(wǎng)絡(luò)標(biāo)識(shí)符(SSID)的廣播;開啟MAC Address過濾功能,只容許獲授權(quán)的WiFi客戶端使用WiFi資源”、“使用者對于不知名的WiFi熱點(diǎn),應(yīng)該提高警覺,不要隨便登入。因?yàn)榉缸镎呖赡芡高^這類網(wǎng)絡(luò),竊取使用者所鍵入的所有數(shù)據(jù),……”

——猜猜看,這都是誰說的?不是別人,正是“WiFi萬能鑰匙”,來自其軟件內(nèi)置的“安全小貼士”。俗話說,無知者無罪。然而,“WiFi萬能鑰匙”非常清楚如何確保WiFi網(wǎng)絡(luò)安全,但他們怎么做的呢?他們專業(yè)提供非法連接和侵入他人WiFi網(wǎng)絡(luò)的工具。

《WiFi萬能鑰匙服務(wù)協(xié)議》聲稱:

“用戶自行決定提供和分享自有WiFi熱點(diǎn)信息,或保證分享的其它熱點(diǎn)信息(包括但不限于密碼和地理位置等)在熱點(diǎn)提供者的許可范圍內(nèi)以內(nèi),并保證分享的所有WiFi熱點(diǎn)的信息安全。”

——如果“WiFi萬能鑰匙”去做房產(chǎn)中介,是不是只要賣房者自行保證對房產(chǎn)的所有權(quán)即可,無需出示房產(chǎn)證?如果配鑰匙的偷偷復(fù)制客戶房門鑰匙,并偷偷送給客戶的所有鄰居使用,發(fā)表一個(gè)“不關(guān)我事,我不知道鑰匙是否可用,也沒開過他家門鎖”的聲明即可?

“熱點(diǎn)提供者有權(quán)利根據(jù)本公司規(guī)定的處理方式通知本公司要求從WiFi萬能鑰匙的數(shù)據(jù)庫中剔除由其提供的熱點(diǎn)信息。WiFi萬能鑰匙將按照法律規(guī)定予以相應(yīng)處理。”

——只提“由其提供”,對于更普遍的由他人非法提供則絕口不提。至于“按照法律規(guī)定”,不知道是誰家的法律?根據(jù)《民法通則》第五十八條,惡意串通,損害第三人利益的,或以合法形式掩蓋非法目的的行為,是無效的。“WiFi萬能鑰匙”的熱點(diǎn)分享實(shí)質(zhì)侵害WiFi熱點(diǎn)主人的合法權(quán)益,且“WiFi萬能鑰匙”是主要受益人(攫取巨大商業(yè)利益),明顯違法侵權(quán)在先,卻大言不慚地在善意第三人、同時(shí)也是受害人面前妄談法律。

防火,防盜,防“WiFi萬能鑰匙”

怎么防?辦法總比困難多:

1、 殺手锏:啟用MAC地址過濾(即使密碼正確也無法接入);

2、 定期更改WiFi熱點(diǎn)連接密碼,使用復(fù)雜密碼以防暴力破解;

3、 啟用客戶端隔離(大部分在用的家庭無線路由器不支持,建議升級換代);

4、 代客人操作WiFi連接,不告知其密碼,以免對方通過“WiFi萬能鑰匙”連接。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)