央視曝光偷密碼的“萬能鑰匙”，9億人個人信息存風險

在3月28日晚，央視财經頻(pín)道《經濟半小(xiǎo)時》節目主題爲偷密碼的“萬能鑰匙”，曝光了WIFI萬能鑰匙和WIFI鑰匙兩款WIFI共享類軟件，涉嫌竊取用戶隐私及WIFI密碼。

　　想必大(dà)部分(fēn)人在剛接觸智能手機的時候都了解或者使用過一(yī)款甚至多款WIFI共享類軟件，就是利用别人共享出來的WIFi密碼連接上某些WIFI，無需知(zhī)道密碼，其中(zhōng)WIFI萬能鑰匙是這類軟件中(zhōng)用戶量較大(dà)的一(yī)款，号稱全球9億+用戶使用。

　　針對此事件，WiFi萬能鑰匙剛剛發布了官方聲明：

　　1、感謝央視對WiFi共享領域的監督，對于給各界造成的困擾我(wǒ)們表示誠懇歉意。WiFi萬能鑰匙的産品名稱容易給公衆造成誤解，我(wǒ)們有必要澄清：WiFi萬能鑰匙的運行原理是熱點共享，不是破解，是通過WiFi熱點資(zī)源共享的方式，讓用戶便捷連接，安全上網。

　　2、WiFi萬能鑰匙一(yī)直重視對密碼的保護，對密碼采用128位非對稱加密，從不明文顯示密碼。報道中(zhōng)提及的密碼查看功能，是廈門某企業的産品“WiFi鑰匙”提供，且此功能需要通過第三方root工(gōng)具，獲取系統管理權限後才可使用。“WiFi鑰匙”并不是我(wǒ)公司産品，隻是名字近似，該企業與我(wǒ)公司也無任何關聯。節目中(zhōng)出現可明文顯示密碼的均爲山寨WiFi萬能鑰匙的産品，近兩年來經過我(wǒ)們舉報而下(xià)架的該類山寨軟件有1669個。

　　3、WiFi萬能鑰匙隻是爲用戶提供了更爲便捷的上網方式，本身不會增加用戶上網的安全風險。 WiFi萬能鑰匙一(yī)貫尊重并保護用戶的隐私，獲取的用戶信息均在國家法律法規允許的範圍内，還須經過用戶同意，并且所獲取數據隻限于提升用戶體(tǐ)驗。爲了保護用戶的網絡安全，我(wǒ)們爲每一(yī)位用戶提供了免費(fèi)的WiFi安全險，一(yī)旦用戶或熱點主人因爲使用WiFi萬能鑰匙遭遇财産損失，均可進行索賠。WiFi萬能鑰匙是中(zhōng)國網絡安全産業聯盟首批成員(yuán)，并通過了國家信息安全等級保護三級标準驗收。

　　4、我(wǒ)們高度重視本次報道，已成立專門工(gōng)作小(xiǎo)組，繼續優化現有産品的流程。我(wǒ)們一(yī)直強調由WiFi熱點主人分(fēn)享熱點，并加大(dà)查處非熱點主人進行分(fēn)享的力度，也将進一(yī)步優化熱點分(fēn)享的取消流程，保護熱點主人權益。WiFi萬能鑰匙熱點主人版自推出以來，已經爲熱點主人提供價值超過10億元的回報。

誠摯地感謝社會各界監督，并再次對用戶造成的困擾表示誠懇的歉意。我(wǒ)們願意爲共建良好的網絡環境作出努力，并将加倍努力爲用戶提供更優質的服務。

　　“萬能鑰匙”讓衆多路由器裸奔

但是你是否想過爲何WIFI萬能鑰匙會有那麽那麽多加密WIFI的密碼信息？全部都是用戶主動共享出來的？我(wǒ)相信每個人都希望能夠免費(fèi)連接到别人家的WIFI，但絕對不會有人會希望别人能夠随便連接到自家的WIFI。

 

WIFI鑰匙首次打開(kāi)默認勾選分(fēn)享WIFI

筆者之前也使用過多款這一(yī)類的WIFI共享軟件，發現其中(zhōng)有一(yī)個貓膩。例如筆者親測安裝WIFI鑰匙這款軟件之後，首次打開(kāi)軟件，發現在這個界面下(xià)“立即體(tǐ)驗”的按鈕下(xià)面，有一(yī)行非常小(xiǎo)的灰色字體(tǐ)，“自動分(fēn)享一(yī)連接WIFI”，而且是默認勾選的。而大(dà)部分(fēn)人并沒有注意到這種不起眼的字眼，這就導緻大(dà)量的密碼“被”主動分(fēn)享出去(qù)。

不過這種行爲現在似乎有所好轉，很多WIFI共享類軟件已經不再玩這樣的套路。但不代表這一(yī)類軟件就從此改變了自己的一(yī)貫做法，根據《經濟半小(xiǎo)時》的記者調查，WIFI萬能鑰匙以及WIFi鑰匙中(zhōng)甚至還包含有外(wài)交部辦公大(dà)樓、銀行等國家重要機關、金融機構等地方的WIFI密碼信息，大(dà)部分(fēn)企業的WIFI網絡均能通過這一(yī)類軟件直接連接。

值得一(yī)提的是，安卓手機在ROOT的情況下(xià)是可以通過某些手段直接讀取到已連接的WIFI密碼的，也就意味着配合這類WIFI共享軟件，黑客可以掌握大(dà)量WIFI網絡的密碼，而WIFI萬能鑰匙号稱全球9億用戶，而WIFI鑰匙也擁有“億級密碼庫”，這些相當于幫黑客直接省去(qù)了破解路由器的第一(yī)步

有了WIFI密碼，黑客則可以破解路由器獲取管理員(yuán)權限，緊接着便能夠監控接入該WIFI網絡下(xià)所有設備的上網記錄，竊取個人信息。想像一(yī)下(xià)，這種手段被用在金融機構、國家重要機關，後果不堪設想。

 

至于這大(dà)量的WIFI密碼究竟是如何洩漏的，根據《經濟半小(xiǎo)時》接收到的觀衆舉報稱，這類軟件會悄悄偷取各類Wi-Fi的密碼信息，在消費(fèi)者絲毫不知(zhī)情的情況下(xià)，将這些信息傳回軟件的後台。雖然大(dà)部分(fēn)都隻是基于猜測，但如此多的WIFI密碼洩漏，與軟件運營方必然脫不了幹系。

　　這類軟件隻是獲取WIFI密碼麽？恐怕沒那麽簡單

在第一(yī)次打開(kāi)這一(yī)類軟件的時候，一(yī)般會有展示用戶協議的入口，同意開(kāi)始使用軟件便表示接收用戶協議，其中(zhōng)裏面還會包含一(yī)份隐私協議，而關鍵是這麽冗長的内容，絕大(dà)多數人都不會去(qù)閱讀。那我(wǒ)們就來看看，這兩款軟件的隐私協議是怎樣的。

 

WIFI萬能鑰匙和WIFI鑰匙的隐私協議一(yī)部分(fēn)截圖

其中(zhōng)表示，在用戶使用該軟件的時候軟件可能會通過某些途徑來獲取到您的一(yī)些個人信息包括姓名、生(shēng)日、身份證、住址、電(diàn)話(huà)号等等，還有與手機等設備相關的信息。隐私政策中(zhōng)同樣清楚交代，将使用用戶信息，爲用戶提供廣告推廣服務。但是否會共享給其他合作平台，并不知(zhī)曉，但去(qù)而讓人擔憂。

這一(yī)類WIFI共享軟件，看起來是免費(fèi)使用，但其實仔細想來，用戶所付出的代價卻不是用金錢來衡量的。用自己的個人信息和WIFI信息去(qù)交換其他的WIFI密碼，這筆交易并不見得劃算。而在平台服務器保存大(dà)量的用戶或者機構的WIFI密碼之後，卻将大(dà)量的公司、單位置于潛在風險當中(zhōng)，而用戶個人信息也面臨洩漏的風險。

筆者突然想起來前段時間，百度李彥宏說的那句話(huà)“如果用隐私可以換取便捷性或者效率，很多情況下(xià)他們是願意這樣做的”。