央视点名提示风险

央视点名提示风险
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
【更新官方声明】央视曝光偷密码的“万能钥匙”，9亿人个人信息存风险 Allen别bb2018-03-29共405766人围观 ，发现 24 个不明物体 资讯
在3月28日晚，央视财经频道《经济半小时》节目主题为偷密码的“万能钥匙”，曝光了WIFI万能钥匙和WIFI钥匙两款WIFI共享类软件，涉嫌窃取用户隐私及WIFI密码。

想必大部分人在刚接触智能手机的时候都了解或者使用过一款甚至多款WIFI共享类软件，就是利用别人共享出来的WIFi密码连接上某些WIFI，无需知道密码，其中WIFI万能钥匙是这类软件中用户量较大的一款，号称全球9亿+用户使用。

针对此事件，WiFi万能钥匙刚刚发布了官方声明：

1、感谢央视对WiFi共享领域的监督，对于给各界造成的困扰我们表示诚恳歉意。WiFi万能钥匙的产品名称容易给公众造成误解，我们有必要澄清：WiFi万能钥匙的运行原理是热点共享，不是破解，是通过WiFi热点资源共享的方式，让用户便捷连接，安全上网。

2、WiFi万能钥匙一直重视对密码的保护，对密码采用128位非对称加密，从不明文显示密码。报道中提及的密码查看功能，是厦门某企业的产品“WiFi钥匙”提供，且此功能需要通过第三方root工具，获取系统管理权限后才可使用。“WiFi钥匙”并不是我公司产品，只是名字近似，该企业与我公司也无任何关联。节目中出现可明文显示密码的均为山寨WiFi万能钥匙的产品，近两年来经过我们举报而下架的该类山寨软件有1669个。

3、WiFi万能钥匙只是为用户提供了更为便捷的上网方式，本身不会增加用户上网的安全风险。 WiFi万能钥匙一贯尊重并保护用户的隐私，获取的用户信息均在国家法律法规允许的范围内，还须经过用户同意，并且所获取数据只限于提升用户体验。为了保护用户的网络安全，我们为每一位用户提供了免费的WiFi安全险，一旦用户或热点主人因为使用WiFi万能钥匙遭遇财产损失，均可进行索赔。WiFi万能钥匙是中国网络安全产业联盟首批成员，并通过了国家信息安全等级保护三级标准验收。

4、我们高度重视本次报道，已成立专门工作小组，继续优化现有产品的流程。我们一直强调由WiFi热点主人分享热点，并加大查处非热点主人进行分享的力度，也将进一步优化热点分享的取消流程，保护热点主人权益。WiFi万能钥匙热点主人版自推出以来，已经为热点主人提供价值超过10亿元的回报。

诚挚地感谢社会各界监督，并再次对用户造成的困扰表示诚恳的歉意。我们愿意为共建良好的网络环境作出努力，并将加倍努力为用户提供更优质的服务。

“万能钥匙”让众多路由器裸奔
但是你是否想过为何WIFI万能钥匙会有那么那么多加密WIFI的密码信息？全部都是用户主动共享出来的？我相信每个人都希望能够免费连接到别人家的WIFI，但绝对不会有人会希望别人能够随便连接到自家的WIFI。

微信图片_20180329145630_看图王.png

WIFI钥匙首次打开默认勾选分享WIFI

笔者之前也使用过多款这一类的WIFI共享软件，发现其中有一个猫腻。例如笔者亲测安装WIFI钥匙这款软件之后，首次打开软件，发现在这个界面下“立即体验”的按钮下面，有一行非常小的灰色字体，“自动分享一连接WIFI”，而且是默认勾选的。而大部分人并没有注意到这种不起眼的字眼，这就导致大量的密码“被”主动分享出去。

不过这种行为现在似乎有所好转，很多WIFI共享类软件已经不再玩这样的套路。但不代表这一类软件就从此改变了自己的一贯做法，根据《经济半小时》的记者调查，WIFI万能钥匙以及WIFi钥匙中甚至还包含有外交部办公大楼、银行等国家重要机关、金融机构等地方的WIFI密码信息，大部分企业的WIFI网络均能通过这一类软件直接连接。

1505984368_2d5e0428_0_600.jpg

值得一提的是，安卓手机在ROOT的情况下是可以通过某些手段直接读取到已连接的WIFI密码的，也就意味着配合这类WIFI共享软件，黑客可以掌握大量WIFI网络的密码，而WIFI万能钥匙号称全球9亿用户，而WIFI钥匙也拥有“亿级密码库”，这些相当于帮黑客直接省去了破解路由器的第一步。

有了WIFI密码，黑客则可以破解路由器获取管理员权限，紧接着便能够监控接入该WIFI网络下所有设备的上网记录，窃取个人信息。想像一下，这种手段被用在金融机构、国家重要机关，后果不堪设想。

微信截图_20180329152023.png

至于这大量的WIFI密码究竟是如何泄漏的，根据《经济半小时》接收到的观众举报称，这类软件会悄悄偷取各类Wi-Fi的密码信息，在消费者丝毫不知情的情况下，将这些信息传回软件的后台。虽然大部分都只是基于猜测，但如此多的WIFI密码泄漏，与软件运营方必然脱不了干系。

这类软件只是获取WIFI密码么？恐怕没那么简单
在第一次打开这一类软件的时候，一般会有展示用户协议的入口，同意开始使用软件便表示接收用户协议，其中里面还会包含一份隐私协议，而关键是这么冗长的内容，绝大多数人都不会去阅读。那我们就来看看，这两款软件的隐私协议是怎样的。

213.jpg

WIFI万能钥匙和WIFI钥匙的隐私协议一部分截图（点击查看大图）

其中表示，在用户使用该软件的时候软件可能会通过某些途径来获取到您的一些个人信息包括姓名、生日、身份证、住址、电话号等等，还有与手机等设备相关的信息。隐私政策中同样清楚交代，将使用用户信息，为用户提供广告推广服务。但是否会共享给其他合作平台，并不知晓，但去而让人担忧。

这一类WIFI共享软件，看起来是免费使用，但其实仔细想来，用户所付出的代价却不是用金钱来衡量的。用自己的个人信息和WIFI信息去交换其他的WIFI密码，这笔交易并不见得划算。而在平台服务器保存大量的用户或者机构的WIFI密码之后，却将大量的公司、单位置于潜在风险当中，而用户个人信息也面临泄漏的风险。

笔者突然想起来前段时间，百度李彦宏说的那句话“如果用隐私可以换取便捷性或者效率，很多情况下他们是愿意这样做的”。

*本文作者：Allen.i，本文仅阐述个人观点，不代表FreeBuf立场。转载请注明来自FreeBuf.COM

Allen别bb
Allen别bb
10 篇文章
等级： 4级
||
上一篇：利用白文件打造超级渗透测试后门程序的思路分享下一篇：BUF早餐铺 | WannaCry勒索病毒卷土重来，波音工厂中招；门罗币代码存漏洞，很容易被追踪；Facebook推出一系列新隐私措施，赋予用户更大控制权;男子开发麻将APP聚赌获利
这些评论亮了

Andy (8级)曾梦想仗剑走天涯，看一看世界的繁华。回复
资讯比今日头条还低俗的流氓软件。
)31(亮了

呵呵 回复
@ 马化腾 你们家的wifi管家才是真正的大盗
)26(亮了

softbug (7级)i am here!回复
万能钥匙挺方便的，只是现在电信无限流量了，不带wifi，用自己手机信号也可以王者荣耀了。 哎，再见，万能钥匙。
)13(亮了

马化腾 回复
还好我没有把wifi万能钥匙买下来，不然央爸爸打死我了
)12(亮了

aa 回复
百度一下，就会死！这不是开玩笑
)10(亮了
发表评论已有 24 条评论

Andy (8级) 曾梦想仗剑走天涯，看一看世界的繁华。 2018-03-29回复 1楼
资讯比今日头条还低俗的流氓软件。

亮了(31)

aa 2018-03-29回复 2楼
百度一下，就会死！这不是开玩笑

亮了(10)

softbug 认证作者专栏作者(7级) i am here! 2018-03-29回复 3楼
万能钥匙挺方便的，只是现在电信无限流量了，不带wifi，用自己手机信号也可以王者荣耀了。 哎，再见，万能钥匙。

亮了(13)

马化腾 2018-03-29回复 4楼
还好我没有把wifi万能钥匙买下来，不然央爸爸打死我了

亮了(12)

呵呵 2018-03-29回复
@ 马化腾 你们家的wifi管家才是真正的大盗

亮了(26)

@@@@ 2018-03-29回复 5楼
不想骂人，这一笔收入了多少密码，撞出多少库

亮了(6)

AmDoing (1级) 反反复复，一遍一遍，步步高升。 2018-03-29回复 6楼
早就该曝光了，不是卸磨杀驴吧？哈哈哈

亮了(4)

神奇的潇洒哥 2018-03-29回复 7楼
很多年前，我就知道你的原理了。问题是什么，问题是你在没有经给用户的同意下自动分享出去。我经常给家里的人说，用万能钥匙，要先把共享取消掉。早就该打击打击了。

亮了(5)

juckson1 (2级) 2018-03-29回复 8楼
主页滚动头条（百度李彦宏：中国人对隐私问题没那么敏感）

FreeBuf小编胆子越来越肥了，挑动百度斗央妈！！

亮了(3)

死丧- 2018-03-30回复 9楼
。很喜欢她。

亮了(2)

天外飛仙-yogasiddhi 2018-03-30回复 10楼
。。。。。。好吧

亮了(2)

一笑群雄-YxW 2018-03-30回复 11楼
我英语也不好[允悲]看的都是国内的

亮了(1)

土豆思8023 2018-03-29回复 12楼
现在我不得那东西了

亮了(1)

艾登——皮尔斯 (5级) 2018-03-30回复 13楼
让我想起了JD客户端上传WIFI密码的那个事件

亮了(1)

谢谢楼主 2018-03-30回复 14楼
真的非常可恶！

亮了(1)

zhangmin157 2018-03-30回复 15楼
openwrt, 叔我定期改密码, +每7天,随机生成mac地址

亮了(2)

zhangmin157 2018-03-30回复
@ zhangmin157 补一下, 建议大家, 每3-5天左右改,太频繁,一些移动设备根据Mac来判断自动登录,不按热点名判断,一般5-7天左右,所有数据公司都收集完你的mac了,(可以随便找个WifiMac->Addr免费查询的网站查一下你的Mac多久别人能知道地址,精确到米级,一般改了mac后,5-7天全网都知道了, 网上有改mac的脚本,自己添加一下, 提供一个免费的查询网站http://www.cellocation.com 每天可以查100次(以你请求IP来算)

亮了(3)

Sicmatrix (1级) The quieter you become,the mor... 2018-04-02回复
@ zhangmin157 数据公司收集你的mac是怎么收集的

亮了(0)

txzer (1级) 2018-03-30回复 16楼
简直风水轮流转

亮了(0)

昵称 2018-03-30回复 17楼
goodwell出来解释一下？

亮了(1)

金毛梅茜 (1级) 2018-03-30回复 18楼
WiFi万能钥匙不需要登录吧？反正我从来不登录。

亮了(0)

中国网通 2018-03-31回复 19楼
网费也不贵，想被蹭都没一个来蹭

亮了(0)

wacentury (1级) 这家伙太懒了，还未填写个人描述！ 2018-04-03回复 20楼
这破玩意取消分享还需要验证，连取消分享的设置也没有（谷歌版）。

国内的也是，用户确认那个按钮弄得这么小，还默认分享。所以我都是不定时改密码。。。

亮了(0)

xiaoshun020 (1级) 2018-04-08回复 21楼
@ softbug 一入电信深似海，从此手机不好买

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Allen别bb
Allen别bb

这家伙太懒，还未填写个人描述！

10
文章数
16
评论数
最近文章
百度搜索打击下载站流氓套路，没想到自家兄弟拖了后腿
2018.11.07

快讯 | 华住集团信息泄露嫌疑人被抓获，数据交易未成功
2018.09.20

滴滴风波余热未散，为了安全你会选择牺牲隐私吗？
2018.09.11

浏览更多
相关阅读
BUF早餐铺 | 男子4个月出售千万条个人信息获利5万；印度学生攻击游戏服务器窃取虚拟货币；EA Origin客户端中的漏洞会暴露游戏玩家的数据机器人的洪流：刷库、撞库那些事儿美电信巨头Verizon曝有重大安全漏洞，泄露客户所有信息【更新官方声明】央视曝光偷密码的“万能钥匙”，9亿人个人信息存风险马来西亚政府服务器及电信公司被黑：数百万名马居民资料遭失窃
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank