“蹭网”软件规范化？自家网络“被自愿”分享引担忧

原标题：“蹭网”软件规范化？自家网络“被自愿”分享引担忧原标题：“蹭网”软件走向规范化？自家网络“被自愿”分享引担忧工信部调查“蹭网”软件《中国经济周刊》记者银昕 北京报道 责编：周琦(本文刊发于《中国经济周刊》2018年第15期)自2014年始，各手机应用商店上线了一系列有WiFi免费分享和辅助连接功能的软件，可帮助用户在不知晓网络密码的情况下连接并使用一部分已被分享出来的网络；此外，一些网页浏览器本身也搭载了WiFi辅助连接功能，记者尝试用某款浏览器登录一个陌生网络，几秒钟后便连接成功。随着人们越来越注重个人信息保护，“蹭网”软件引发了越来越多网民的担忧。日前，工信部宣布将对“WiFi万能钥匙”“WiFi钥匙”等具有免费向用户提供他人WiFi网络功能、涉嫌入侵他人WiFi网络和窃取用户个人信息的移动应用程序进行调查。“工信部在这个时间点对这些已存在多年的"蹭网"软件进行调查，背后的原因在于有关部门希望行业的发展更加规范。此外，由于《网络安全法》的诞生，相关部门也有法可依了。”网络服务商迈外迪CEO张程对《中国经济周刊》记者分析说。告知不充分，网络“被自愿”分享工信部发布公告后不久，被点名的“WiFi万能钥匙”回应称，公司“一贯尊重并保护用户的隐私，获取的用户信息均在国家法律允许的范围之内，须经过用户同意”。“WiFi万能钥匙”表示，公司一直强调由WiFi热点主人分享热点，并加大查处非热点主人分享的力度，也将进一步优化取消热点分享的流程。“产品只提供"分享"功能，而非"破解"，只有以热点形式被分享出来的网络才能被用户使用，我们对密码采取128位非对称加密，从不明文显示密码。”对于破解和分享两种技术的区别，张程则明确告诉《中国经济周刊》记者，“破译”技术不外乎强大的计算程序使其采用穷举法的方式试错，一位数一位数地排列组合，最终获得正确答案。通信行业观察家项立刚介绍，相比于分享，破解的难度更大，是在完全不知道密码的情况下穷举试错，有一定的技术门槛。不过他强调，不能确定所有服务商都从未采取过破译的尝试，“服务商只需要"破译"出一部分城市中的网络即可，其他的可以用热点的方式进行分享。”中国WiFi产业联盟秘书长雄歌对《中国经济周刊》记者说，从实际情况看，很多WiFi密码都是相同的(比如8个8或)，甚至很多WiFi不设密码。“当然不排除一些服务商会使用破解技术，但目前主流的做法是通过用户分享。”雄歌说，“在细节上有的公司做得比较理性，有的公司做得比较"野蛮"。”雄歌所说的理性和“野蛮”，区别在于WiFi的建立者和拥有者是否是在被充分告知的前提下，拥有充分知情权地主动将自家网络分享出去，还是在提示和告知极不充分的前提下“被自愿”地分享了自家网络。以“360免费WiFi”软件为例，用户在知晓密码的情况下用密码登录的方式登录某网络时，左下角会默认勾选为“我愿意分享该网络”，由于该提示位置并不明显，用户稍不留意便会“被自愿”地分享自家网络，此后任何使用同款应用的其他人均可通过该应用“蹭”上此网络。此外，一款名为“腾讯Wifi管家”的软件推出的“离线WiFi包”也引起了市场的关注。腾讯方面称，该服务是将城市里的部分公共WiFi打包成离线包，帮助用户在没有网络或者网络比较差的场景下连接上安全的公共WiFi，此功能基于“一个网络对应一个密码”的原则，而非“野蛮撞库”。“在用户尝试连接WiFi之前，我们已经对这部分公共WiFi的安全性做了排查鉴定，这些离线包内的公共WiFi都是同意对外分享的公共WiFi。”腾讯公司一位负责人对《中国经济周刊》记者说。如何判定网络主人是谁？按照常理，有资格分享WiFi密码的人应为网络的创建者和拥有者，但在目前的手机应用中，均无对网络所有者进行识别和排查的功能。项立刚告诉《中国经济周刊》记者，一些私人网络之所以会被上述软件“分享”出去，原因在于有访客从所有者处得知密码后，使用此类软件登录，并在告知不充分的情况下“被自愿”地分享了所有者网络。张程介绍，判定一个登录者是否是该网络的创建者和所有者，背后涉及的一系列技术十分复杂，也要投入很高的成本，“要通过大数据分析判断他是否经常登录此网络，还是只是偶尔登录，还要知道他是否同时出现在这台路由器的后台并实际控制着这个网络。”这些正是目前“蹭网”软件行业绝大多数服务商尚未解决的问题。“这种认定技术很有难度，到底达到什么条件才认定登录人是"拥有者"，而不是访客，是个挑战。”张程说。业内人士介绍，“微信连WiFi”是一种对双方知情权保护比较到位的方式，通过关注微信公众号等机制，网络主人和登录用户都十分清晰地知晓正在分享或者正在被分享网络的整个过程。也有业内人士建议，应从WiFi技术底层做出改变，从根本上摒弃密码登录的方式。“从技术上看，最好的方式是从设备厂商开始，不再使用密码的认证模式。”雄歌认为，与“蹭网”相比，非密码登录模式相对安全，比较适合公共场景，但如果用于家庭私人网络，为了防“蹭网”只能通过验证码登录，体验感会差很多。在上述软件尚未完成自纠自查，工信部也尚未完成对该类软件的调查之前，私人网络如何避免被“蹭”？雄歌告诉《中国经济周刊》记者，目前在WiFi连接领域的服务商和产品很多，在不断竞争和洗牌的过程中，服务商都在避免被打上“蹭网”的标签，增加了保护网络安全的功能。“这个行业从过去的1000多家到只剩下两三家主流公司，产品功能也从单纯的"蹭网"变成了网络安全管理。”例如，“腾讯WiFi管家”就有家庭网络防“蹭”保护设置，一旦用户通过真实密码登录将其设定为家庭网络，陌生人就不能通过“智能连接”功能对家庭网络解锁。除了依靠网络安全管理，关闭私人网络的对外广播是否可以防“蹭网”？项立刚告诉《中国经济周刊》记者，广播关闭后陌生人的手机确实搜索不到该网络信号，只能手动输入网络名称和密码才能进入，原则上可以保证安全。然而，若有访客在主人关闭网络对外广播前便已经登录过该网络，其设备内依旧会存有网络名称和密码，还是可以登录网络。网络密码能否被认作个人信息？在我国现行法律法规中，对个人信息安全保护的主要依据是2017年6月生效的《网络安全法》，法律界呼吁尽快出台的《个人信息保护法》目前尚在草案阶段。2018年