近日,一篇《如何看待严重侵害公众利益的 App「WiFi 万能钥匙」?》的长帖,将一款名为WiFi万能钥匙的软件推上风口浪尖,网友“CATT L”指出,WiFi万能钥匙通过用户主动分享公开热点和密码,有泄露用户个人信息,招致黑客入侵的风险。
据了解,该款软件在使用时,能够扫描周边的WiFi信号,通过网络为用户查询到对应WiFi信号的密码。若连接失败,WiFi万能钥匙还会为用户提供万能钥匙连接与深度连接,也就是“暴力破解密码”。
针对质疑,WiFi万能钥匙官方回应称,“收集用户数据”一事属恶意中伤,目前,已通过司法途径追究恶意造谣人士的相关责任。
WiFi万能钥匙对此前网友的质疑逐一进行了回应:
第一,所有的密码分享,都是以用户同意为前提的,且软件还允许改变主意的用户关闭分享,甚至将自己的热点设置为永不分享。
第二,网友此前的说法显然夸大其词,“如果登陆一个热点就能让黑客毫无障碍的进出,那么ChinaNet、CMCC、i-Shanghai等各类热点服务岂不是都是黑客的温床了”?第三,所有选择备份的密码均属于用户私人,不会被分享;第四,所有的密码传输,和服务器保存都采用了128位加密后的密文,云密码都不会被用户的安卓手机本地保存,连接成功后即被删。
在这之前,ID名为“狂男风”的知乎网友于1月撰文介绍了该软件的基础工作原理。WiFi万能钥匙将由用户分享的热点名称(或者用来唯一标识的MAC地址)以及与其对应的密码字符串存储在后台服务器中。在查询密码时,用户将周围扫描到的陌生热点信息上传,服务器后台查询到相对应的密码(如果分享过的话)后返回给APP供用户选择使用,实现免费上网,即“蹭网”。
网友“狂男风”通过破解与分析源码,发现早期的WiFi万能钥匙(1.0版本)有通过获取安卓用户root权限,复制用户历史热点信息,扩充数据库的嫌疑。同时,知乎网友“CATT L”指出,WiFi万能钥匙在分享密码时采用明码分享,直接暴露重要信息。
在业内引发争议之后,网友“CATT L”也更新了WiFi万能钥匙的最新回应。WiFi万能钥匙团队称,从3.0.96版本开始用户的热点就已经不是默认分享了,而改成了分享前询问,从3.1.7到现在的3.2.3(最新版)改成了如下图所示的界面。而各项设置中,分享已经默认关闭,并且不需要root权限。
通过体验看到,当用户分享热点功能,虽然APP会有“非本人热点请勿分享”的提示,但其约束作用还不够强。对于热点所有者来说,会不会被“蹭网”完全取决于用户的自觉。
有专家提醒,使用蹭网软件存在将增加热点所有者被入侵风险,当有心人获取了热点密码,可以进入私人家庭或是互相访问的同一局域网,并进入路由器管理界面篡改路由器的配置信息,也可以访问同一局域网中的任意电脑,窃取电脑中的文件甚至网络账号信息,带来严重的后果。有网友提醒,个人的家庭,应慎用甚至避免在公司,私人局域网中使用蹭网软件。
作者:佚名
来源:51CTO