当前位置:K88软件开发文章中心编程资讯编程资讯07 → 文章内容

警惕WiFi万能钥匙 热点共享威胁信息安全

减小字体 增大字体 作者:华军  来源:华军资讯  发布时间:2019-2-11 18:01:35

资料图范江波3月29日,央视财经报道,借助Wi-Fi万能钥匙和Wi-Fi钥匙这样的热点共享App,“从个人到商场,从外交大楼到金融重地,统统可以轻松窃取密码”。报道播出后,引发了公众对于热点共享安全风险的关注。随后,WiFi万能钥匙方面对此紧急回应称,该软件的运行原理是WiFi热点资源共享,让用户便捷连接,安全上网,不是破解,试图澄清其不存在相应安全风险的问题。所谓热点共享(WiFi访问认证),简单来讲是将无线WiFi热点按特定的时段、区域、是否需要访问授权等方式分享出来,供他人使用访问互联网资源;如明确告知WiFi共享的密码,或采取免密开放式设置,则可在特定区域被任意访问。如某些场所提供免认证的热点,就属于开放式热点共享,当然为了提高安全性,当前大部分公共WiFi会在登陆页面进行二次认证,即使非法用户连接至公用WiFi,也无法直接获取网络中的数据。一般来说,这是一种和平、合法的方式。而所谓“破解”,严格来讲是一种非法行为,是采用各种技术手段绕过或通过非法方式获取访问授权来访问资源,一般表现形式为暴力、非法方式,性质严重的还有可能涉及犯罪。一般而言,不同用户要使用共享的热点,均要输入访问密码;共享热点的区域越多,需要输入密码也越多,不是很方便,因此热点分享软件应运而生。安装热点共享类软件后,用户在一个区域使用某一热点后,其他装有此软件的用户进入该区域后,也会自动连接上此热点,因此很受用户欢迎。WiFi万能钥匙、WiFi钥匙软件即是此类软件。WiFi万能钥匙是通过用户上传分享的热点到后台服务器的方式收集、积累数据。后台服务器维护着一份热点数据库,其中包含着热点名称以及与其对应的密码字符串。查询密码时,用户将周围扫描到的陌生热点信息上传,服务器后台查询到相对应的密码(如果分享过的话)后返回给App,供用户选择使用。使用自动分享功能极易导致用户被蹭网,局域网隐私泄露,或者被黑客轻易入侵等问题。在万能WiFi钥匙的设计逻辑中,一旦用户把家庭的WiFi密码告诉来访的朋友,而朋友安装了WiFi万能钥匙,密码则会被分享出去,而WiFi的拥有者对此毫不知情。家庭WiFi的防护可以说是最弱的,只要黑客连接至家庭WiFi,就可以任意截取网络流量,访问局域网共享文件,家庭云存储等数据,给个人安全带来极大的隐患。如果热点共享涉及是国家机关WiFi信息,则极有可能危及国家安全,应引起高度重视。依据民法总则第一百一十一条,自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。网络安全法也明确规定:“网络运营商收集、使用个人信息,应当遵循合法、合法和必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”万能WiFi钥匙在回应中称其一直强调有WiFi热点主人分享热点,并加大查处非热点主人进行分享的力度。打开WiFi万能钥匙等软件,有的的确可以看到所谓的“用户协议”,看起来用户似乎愿意提供WiFi密码,但事实并非如此简单:因为用户点击立即体验时,用户协议被默认同意,很多用户可能根本就没有打开查看——这也是现在很多App惯用的获取用户授权所采取的手法,现实情况则是用户的知情权、选择权被剥夺。退一步说,即便是用户愿意提供WiFi密码,也并不意味着他们愿意将WiFi密码、其他个人信息一并提供给类似WiFi万能钥匙这样的企业,而在这些热点共享App所获取的用户权限中,读取通讯录、照片、短信等敏感信息都在收集获取之列。另据央视报道,一些WiFi共享App在存储用户密码时,使用了明文的方式,或者只是进行简单的加密,这种情况下,一旦后台系统被黑客攻击拿到数据,尤其是用户个人信息如手机号码等,极易引发精准诈骗、“杀熟”等安全问题,务必引起高度重视。依据网络安全法的规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,且我国实行网络安全等级保护制度。因此,笔者认为,所有互联网企业应严格遵守网络安全法的规定,按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。尽管目前国家鼓励分享经济的发展,但是企业决不能打着分享经济的旗号,随意收集个人信息、甚至是危机国家安全的信息,并将收集来的相关信息置于巨大的风险中,这不仅违背了国家发展分享经济的初衷,也会给企业自身带来很大的法律风险。(作者供职于西南财经大学网络安全与信息化办公室)责任编辑:李思阳

警惕WiFi万能钥匙 热点共享威胁信息安全