央视曝光“WIFI万能钥匙”偷密码有感,看企业无线安全

前言

在给公司员工进行网络安全意识培训的时候,我当时也有提及过关于“万能钥匙”的问题,我个人是比较排斥使用这个软件的,你明知道那些密码是他“偷”来上传到服务器的,但是在你用来上别人的时候你也已经把数据给了“万能钥匙”,是不是很恶心?

而在我看来它带来的问题远不仅如此,我之前在对一个公司做测试的时候,除了web端找到了getwebshell的方法并控制服务器之外,我还去试了一下他们大厅内使用“万能钥匙”连接他们并不想给外人用的WiFi,而且路由器后台是默认的账号密码,那么我已经到了目标内网,并且还是没有什么精心设计防范的内网,简直可以为所欲为。当然想连接上这样的WiFi方法有很多,

而我根本就不需要考虑破解wpa2时字典里有没有你在使用的密码问题,渗透你我只用了短短几分钟完成了常规WiFi破解接入的监听、抓包、阻塞等等动作,破解一个抓到的握手包更是可能遥遥无期。起码这把“钥匙”在对我或者你们进行测试的时候节省了不止一点的时间。

新闻

想必大部分人在刚接触智能手机的时候都了解或者使用过一款甚至多款WIFI共享类软件,就是利用别人共享出来的WIFi密码连接上某些WIFI,无需知道密码,其中WIFI万能钥匙是这类软件中用户量较大的一款,号称全球9亿+用户使用。

针对此事件,WiFi万能钥匙刚刚发布了官方声明:

1、感谢央视对WiFi共享领域的监督,对于给各界造成的困扰我们表示诚恳歉意。WiFi万能钥匙的产品名称容易给公众造成误解,我们有必要澄清:WiFi万能钥匙的运行原理是热点共享,不是破解,是通过WiFi热点资源共享的方式,让用户便捷连接,安全上网。

2、WiFi万能钥匙一直重视对密码的保护,对密码采用128位非对称加密,从不明文显示密码。报道中提及的密码查看功能,是厦门某企业的产品“WiFi钥匙”提供,且此功能需要通过第三方root工具,获取系统管理权限后才可使用。“WiFi钥匙”并不是我公司产品,只是名字近似,该企业与我公司也无任何关联。节目中出现可明文显示密码的均为山寨WiFi万能钥匙的产品,近两年来经过我们举报而下架的该类山寨软件有1669个。

3、WiFi万能钥匙只是为用户提供了更为便捷的上网方式,本身不会增加用户上网的安全风险。 WiFi万能钥匙一贯尊重并保护用户的隐私,获取的用户信息均在国家法律法规允许的范围内,还须经过用户同意,并且所获取数据只限于提升用户体验。为了保护用户的网络安全,我们为每一位用户提供了免费的WiFi安全险,一旦用户或热点主人因为使用WiFi万能钥匙遭遇财产损失,均可进行索赔。WiFi万能钥匙是中国网络安全产业联盟首批成员,并通过了国家信息安全等级保护三级标准验收。

4、我们高度重视本次报道,已成立专门工作小组,继续优化现有产品的流程。我们一直强调由WiFi热点主人分享热点,并加大查处非热点主人进行分享的力度,也将进一步优化热点分享的取消流程,保护热点主人权益。WiFi万能钥匙热点主人版自推出以来,已经为热点主人提供价值超过10亿元的回报。

诚挚地感谢社会各界监督,并再次对用户造成的困扰表示诚恳的歉意。我们愿意为共建良好的网络环境作出努力,并将加倍努力为用户提供更优质的服务。

“万能钥匙”让众多路由器裸奔

但是你是否想过为何WIFI万能钥匙会有那么那么多加密WIFI的密码信息?全部都是用户主动共享出来的?我相信每个人都希望能够免费连接到别人家的WIFI,但绝对不会有人会希望别人能够随便连接到自家的WIFI。

但是你是否想过为何WIFI万能钥匙会有那么那么多加密WIFI的密码信息?全部都是用户主动共享出来的?我相信每个人都希望能够免费连接到别人家的WIFI,但绝对不会有人会希望别人能够随便连接到自家的WIFI。

 

WIFI钥匙首次打开默认勾选分享WIFI

笔者之前也使用过多款这一类的WIFI共享软件,发现其中有一个猫腻。例如笔者亲测安装WIFI钥匙这款软件之后,首次打开软件,发现在这个界面下“立即体验”的按钮下面,有一行非常小的灰色字体,“自动分享一连接WIFI”,而且是默认勾选的。而大部分人并没有注意到这种不起眼的字眼,这就导致大量的密码“被”主动分享出去。

不过这种行为现在似乎有所好转,很多WIFI共享类软件已经不再玩这样的套路。但不代表这一类软件就从此改变了自己的一贯做法,根据《经济半小时》的记者调查,WIFI万能钥匙以及WIFi钥匙中甚至还包含有外交部办公大楼、银行等国家重要机关、金融机构等地方的WIFI密码信息,大部分企业的WIFI网络均能通过这一类软件直接连接。

 

值得一提的是,安卓手机在ROOT的情况下是可以通过某些手段直接读取到已连接的WIFI密码的,也就意味着配合这类WIFI共享软件,黑客可以掌握大量WIFI网络的密码,而WIFI万能钥匙号称全球9亿用户,而WIFI钥匙也拥有“亿级密码库”,这些相当于帮黑客直接省去了破解路由器的第一步。

有了WIFI密码,黑客则可以破解路由器获取管理员权限,紧接着便能够监控接入该WIFI网络下所有设备的上网记录,窃取个人信息。想像一下,这种手段被用在金融机构、国家重要机关,后果不堪设想。

 

至于这大量的WIFI密码究竟是如何泄漏的,根据《经济半小时》接收到的观众举报称,这类软件会悄悄偷取各类Wi-Fi的密码信息,在消费者丝毫不知情的情况下,将这些信息传回软件的后台。虽然大部分都只是基于猜测,但如此多的WIFI密码泄漏,与软件运营方必然脱不了干系。

这类软件只是获取WIFI密码么?恐怕没那么简单

在第一次打开这一类软件的时候,一般会有展示用户协议的入口,同意开始使用软件便表示接收用户协议,其中里面还会包含一份隐私协议,而关键是这么冗长的内容,绝大多数人都不会去阅读。那我们就来看看,这两款软件的隐私协议是怎样的。

WIFI万能钥匙和WIFI钥匙的隐私协议一部分截图(点击查看大图)

 

参考:freebuf:【更新官方声明】央视曝光偷密码的“万能钥匙”,9亿人个人信息存风险

aimorc

我还没有学会写个人说明!

2 条评论

  1. 一直没用过这个东西

    • aimorc

      这个东西上新闻不光是因为他可以上传你的wifi密码,还手机你的其他不相关的信息。

Leave a Reply

Your email address will not be published. Required fields are marked *

微信扫一扫,分享到朋友圈

央视曝光“WIFI万能钥匙”偷密码有感,看企业无线安全
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close