近日,一篇《如何看待嚴重侵害公衆利益的 app「wifi 萬能鑰匙」?》的長帖,将一款名為wifi萬能鑰匙的軟體推上風口浪尖,網友“catt l”指出,wifi萬能鑰匙通過使用者主動分享公開熱點和密碼,有洩露使用者個人資訊,招緻黑客入侵的風險。
據了解,該款軟體在使用時,能夠掃描周邊的wifi信号,通過網絡為使用者查詢到對應wifi信号的密碼。若連接配接失敗,wifi萬能鑰匙還會為使用者提供萬能鑰匙連接配接與深度連接配接,也就是“暴力破解密碼”。
針對質疑,wifi萬能鑰匙官方回應稱,“收集使用者資料”一事屬惡意中傷,目前,已認證司法途徑追究惡意造謠人士的相關責任。
wifi萬能鑰匙對此前網友的質疑逐一進行了回應:
第一,所有的密碼分享,都是以使用者同意為前提的,且軟體還允許改變主意的使用者關閉分享,甚至将自己的熱點設定為永不分享。
第二,網友此前的說法顯然誇大其詞,“如果登陸一個熱點就能讓黑客毫無障礙的進出,那麼chinanet、cmcc、i-shanghai等各類熱點服務豈不是都是黑客的溫床了”?第三,所有選擇備份的密碼均屬于使用者私人,不會被分享;第四,所有的密碼傳輸,和伺服器儲存都采用了128位加密後的密文,雲密碼都不會被使用者的安卓手機本地儲存,連接配接成功後即被删。
在這之前,id名為“狂男風”的知乎網友于1月撰文介紹了該軟體的基礎工作原理。wifi萬能鑰匙将由使用者分享的熱點名稱(或者用來唯一辨別的mac位址)以及與其對應的密碼字元串存儲在背景伺服器中。在查詢密碼時,使用者将周圍掃描到的陌生熱點資訊上傳,伺服器背景查詢到相對應的密碼(如果分享過的話)後傳回給app供使用者選擇使用,實作免費上網,即“蹭網”。
網友“狂男風”通過破解與分析源碼,發現早期的wifi萬能鑰匙(1.0版本)有通過擷取安卓使用者root權限,複制使用者曆史熱點資訊,擴充資料庫的嫌疑。同時,知乎網友“catt l”指出,wifi萬能鑰匙在分享密碼時采用明碼分享,直接暴露重要資訊。
在業内引發争議之後,網友“catt l”也更新了wifi萬能鑰匙的最新回應。wifi萬能鑰匙團隊稱,從3.0.96版本開始使用者的熱點就已經不是預設分享了,而改成了分享前詢問,從3.1.7到現在的3.2.3(最新版)改成了如下圖所示的界面。而各項設定中,分享已經預設關閉,并且不需要root權限。
通過體驗看到,當使用者分享熱點功能,雖然app會有“非本人熱點請勿分享”的提示,但其限制作用還不夠強。對于熱點所有者來說,會不會被“蹭網”完全取決于使用者的自覺。
有專家提醒,使用蹭網軟體存在将增加熱點所有者被入侵風險,當有心人擷取了熱點密碼,可以進入私人家庭或是互相通路的同一區域網路,并進入路由器管理界面篡改路由器的配置資訊,也可以通路同一區域網路中的任意電腦,竊取電腦中的檔案甚至網絡賬号資訊,帶來嚴重的後果。有網友提醒,個人的家庭,應慎用甚至避免在公司,私人區域網路中使用蹭網軟體。
作者:佚名
來源:51cto