Wi-Fi分享软件让您的隐私泄露

　　本文来自泰尔终端实验室

　　3月29日，央视《经济半小时》栏目曝光了“WiFi万能钥匙”和“WiFi钥匙”两款应用软件窃取Wi-Fi密码情况后，工业和信息化部随即发布关于调查两款移动应用软件的通报，引起社会民众的广泛关注。中国信息通信研究院泰尔终端实验室也随即对两款应用软件开展了测试与评估研究。

　　一、软件的工作模式

　　“WiFi万能钥匙”和“WiFi钥匙”是目前被广泛使用的Wi-Fi热点分享软件。用户通过软件的分享功能上传Wi-Fi密码到后台服务器，在其他用户连接同一Wi-Fi热点时能够从软件的后台服务器密码库中进行密码匹配，实现自动连接网络的功能。

　　二、安全风险

　　目前，社会上有一种观点：Wi-Fi热点分享是共享经济的一种创新，但是这种分享模式存在一些风险。首先，虽然Wi-Fi热点分享看上去是用户的主动意愿，但应用软件并没有向用户明确密码分享过程和其背后可能存在的风险，提供的“用户协议”十分模糊，没有尊重用户的知情权。第二，应用软件本身没有区分和验证分享的Wi-Fi密码是否由热点的搭建者或持有者（以下称为“主人”）主动进行分享的，若其他人故意或恶意将Wi-Fi密码分享出来，不仅会给Wi-Fi热点的主人带来经济利益的损失，也会给Wi-Fi用户带来安全风险。

　　虽然“WiFi万能钥匙”和“WiFi钥匙”本身不具备直接进入Wi-Fi路由器后台获取用户数据的能力，但软件的使用者连接Wi-Fi热点将会与主人处于同一个局域网内且未经主人允许，这将会带来隐私泄露的风险：

　　1、同一局域网内用户都可以尝试去登录Wi-Fi路由器内部，获取Wi-Fi主人的用户信息，例如账户、身份等信息。

　　2、Wi-Fi主人可以用技术手段获得同一局域网内其他用户的信息，例如账户、身份等信息。

　　由此可见，用户和Wi-Fi主人承担着共同的安全风险，也就是说用户在“蹭网”的同时，也要承担“被蹭”的风险。特别是个人用户在一些企业内部热点登录后，很可能将内部的热点密码分享至公网，这将会对企业内部的网络安全及信息保密带来巨大的影响。

　　除此之外，“WiFi钥匙”还提供了“额外”的功能。

猜密码

　　用户能够对未知Wi-Fi热点密码进行猜测并匹配30次。未修改初始密码或习惯使用弱密码的用户要十分注意，您所设置的Wi-Fi热点密码就这样被“破解”了。

查看密码

　　“WiFi钥匙”为使用root手机的用户提供密码查看功能，用户可直接查看别人分享过的Wi-Fi热点密码，造成了用户密码信息泄露，给用户带来不可估量的安全风险。大多数人的密码会选择生日、手机号等特征数字，攻击者可利用特征数字作为用户特征攻击其他的相关账户，例如通过手机号添加微信从而获得朋友圈信息，因此应用软件万万不能提供密码查看功能。

　　三、安全防范

　　综上所述，大多数人使用“WiFi万能钥匙”和“WiFi钥匙”等应用软件的初衷是为了获取免费网络的便利。然而，获取这种便利的前提是以自己的隐私作为“敲门砖”，用隐私获取便利的行为往往是得不偿失，同时是对WiFi主人财产的侵犯。用户在面对是否使用此类应用软件的问题时，应三思而后行。为了保护用户信息和财产安全，我们强烈建议不使用此类应用软件。

　　作为专业从事信息安全研究、评估、验证的专业机构，我们提出以下几个建议，帮助大家避免Wi-Fi热点密码泄露：

不要轻易将自己的Wi-Fi热点密码分享给其他人。 定期修改Wi-Fi热点密码、路由器PIN码、web后台登录密码，不要使用自己的手机号、生日、姓名、身份证号等特征数字作为密码。 隐藏Wi-Fi热点网络名称。在路由器设置页面中，将无线网络名称后面的“隐藏无线网络”开关打开。 在公共场所不要随意连接陌生Wi-Fi热点，特别是不要使用陌生Wi-Fi热点进行网络支付等涉及财产交易的操作。

　　（原标题：Wi-Fi分享软件让您的隐私泄露|隐私|密码|热点）