文/杭州硅谷小报朱文科
今日,工信部发布关于“蹭网”等移动应用的通知。 报道称,工信部网络安全管理局组织网络安全专业机构对移动应用“WiFi万能钥匙”和“WiFi钥匙”进行技术分析,发现这两款移动应用存在安全隐患。能够共享用户登录的 Wi-Fi 网络密码等信息。 功能。
通知除了要求上海市、福建省通信管理局开展调查外,还提醒用户谨慎使用Wi-Fi“爬网”等移动应用。
工信部的通知,让一款打着“共享经济”旗号、用户规模超过微信的曾网APP成为人们关注的焦点。 网络案例专家提醒,不要再蹭网络了,因为蹭网络就意味着你在网络世界里“裸奔”。
Wi-Fi密码被盗
工信部通报中提到的“WiFi万能钥匙”是家喻户晓的“网络蹭神器”,常年占据App下载排行榜前三名。 早在2016年6月,其全球注册用户就已超过9亿,覆盖223个国家和地区。 截至当年年底,全球微信注册用户不足9亿。
这个手机软件能做什么? 帮你蹭网,即免费连接周边加密Wi-Fi网络。 在Wi-Fi万能钥匙的官网上,其愿景是这样描述的:“打破数字鸿沟,让世界各地的人们免费上网”,并号称打造“全球网络共享平台”。
然而,这款酷似“雷锋”的手机软件近日被央视《经济半小时》曝光,具有窃取他人Wi-Fi密码的潜质,无论是个人Wi-Fi热点、商场、外交建筑或金融机构。 很容易被打破。 甚至可以进入其他路由器的后台查看、修改用户信息。
截至发稿,两款软件均可正常下载。 WiFi万能钥匙也回应称,其工作原理是热点共享,并非破解,而是通过共享WiFi热点资源,让用户方便连接、安全上网。
然而,安全专家提出了新的疑虑,因为当用户上网或共享Wi-Fi时,会存在很大的安全风险,很容易受到黑客的攻击。
共享无线网络
瑞星网络安全专家唐伟在接受硅谷小报采访时解释了软件的技术原理:首先,用户A将其所在位置已成功连接的Wi-Fi热点上传并分享到云端。 软件,共享信息包括热点名称、用户名、密码等。
当用户B到达该区域并扫描用户A共享的热点信息时,软件云会匹配相应的密码并将其返回给用户。 这样,用户B就成功连接Wi-Fi热点了。
最终的结果是,你可以免费访问任何一个连接了该软件的Wi-Fi网络,以及世界上任何一个在手机中安装了此类工具的人,只要他们路过你家,无论在什么地方。无论他们是否跟你打招呼,无论是你的熟人还是朋友,你也可以随意连接到你的家庭路由器,随意使用互联网。
蹭网就等于“裸奔”
“相比‘共享单车’、‘共享充电宝’,‘共享WiFi’才是真正的共享经济,但这种共享太危险了,一旦使用,就等于在网络世界‘裸奔’” ”。 汤唯说道。
他解释说,使用此类工具的用户,由于网络用户名和密码泄露,黑客可以直接登录家中的WiFi网络,然后对WiFi路由器和其他联网的手机、平板电脑、电脑进行攻击或植入病毒在网络中,您可以监控网络上设备的在线信息,包括支付、聊天、照片等。
当您上网时,黑客可以设置网络钓鱼 Wi-Fi。 一旦您不幸被抓到,您手机的所有上网流量都将被监控。 当您连接到网络钓鱼 WiFi 时,多个应用程序将连接到互联网。 无论您是否手动运行,该应用登录网络的数据包都可能被拦截。 只要你努力,你手机里的秘密就有可能被曝光。
对于企业来说,危害更大。 黑客可以直接进入企业内网,通过技术手段入侵员工的计算机和公司服务器,从而导致商业秘密的泄露以及对计算机或服务器的攻击。
据他介绍,去年席卷全球的勒索软件就是通过这种方式入侵的。
唐伟表示,即使没有黑客攻击,使用此类工具仍然存在个人信息泄露的风险。 他查看了几款此类软件的使用条款,发现大多数软件都有权收集用户的个人信息,包括用户手机的设备信息、使用的服务器的IP地址、GPS位置等。 ..,有的甚至要求用户提供身份信息和手机号码。 和其他私人信息。
对于网络抓取工具来说,这些个人信息实际上是不必要的,那么为什么要收集它呢? 他分析称,出售给第三方是为了提供所谓的“精准广告投放”。
在央视《经济半小时》的报道中,提到“WiFi万能钥匙”利用用户信息进行广告宣传。
事实上,蹭软件就是靠这个发财的。 2015年初,“WiFi万能钥匙”购买了数十辆特斯拉奖励员工,当时引起轩然大波。
“那些蹭网的用户,好像是被别人出卖了,还替别人数钱。” 汤唯说道。
不蹭网、改密码、关闭SSID
唐伟表示,要防范Wi-Fi泄露风险,首先就是不要刷屏或者使用此类工具。 因为只要你蹭上网,就相当于把钥匙插入了你家的门。
如果您使用过此类工具,那么您必须修改家庭路由器的设置,更换新的用户名和密码,并修改网关的用户名和密码,不要使用出厂设置。 如果路由器有访客功能,可以打开供访客使用。 或者配置路由器的黑白名单,绑定联网设备的MAC地址,只允许指定的设备连接。
如果不想被别人黑客攻击,可以关闭路由器中的SSID广播功能,这样别人搜索网络时就看不到你家的WiFi信号了。
对于企业来说,预防的思路是一样的。 首先,使用安全级别较高的企业级路由器,并对接入内网的设备进行认证,只允许授权的设备接入内网。 配置访客专用Wi-Fi,并与办公室内网隔离。 同时,教育员工禁止使用“蹭网”工具。