Bianews报道 央视在一年一度的315晚会上曝光公用WiFi存在的安全隐患问题,黑客可利用公共免费WiFi轻易盗取用户个人信息如账号密码等。近日,央视又曝光了WiFi共享类应用的安全隐患。

央视曝光:“WiFi万能钥匙”类软件有安全隐患

央视曝光 工信部检测:"WiFi万能钥匙"们到底安不安全?-克里焦点网

根据报道,使用诸如“WiFi万能钥匙”这类软件的用户,系统会默认将用户链接过的网络WiFi密码共享出来供他人使用,而用户在安装软件时很少有人会注意到“自动分享”“自动备份”这类选项。这样一来,网络内的设备就很可能被监控,甚至被植入病毒,使用户的信息安全受到威胁。

WiFi万能钥匙声明:经工信部检测安全可信

在央视报道后不久,WiFi万能钥匙即发表声明,声明称:

央视曝光 工信部检测:"WiFi万能钥匙"们到底安不安全?-克里焦点网

WiFi万能钥匙称,有关存在重大安全隐患的消息,是个别安全公司对其恶意解读,造成了部分公众和媒体的误解。WiFi万能钥匙尊重用户隐私,并经过国家权威检测机构的检测证实自己安全可信,不存在信息窃取问题。

此外,WiFi万能钥匙还公布了其六个安全举措,以表明自己在WiFi网络安全方面是可信的:

1、WiFi万能钥匙是工信部下属中国计算机行业协会无线网络和网络安全接入技术专业委员会成员,该组织成员还包括中国移动、中国电信、中国联通三大电信运营商以及联想等手机制造商;

2、2014年开始,WiFi万能钥匙就与金山、百度等国内主流网络安全厂商合作,推出WiFi热点全面安全检测,防钓鱼WiFi、防DNS篡改、ARP攻击等,并明确向用户提示WiFi热点的安全级别;

3、WiFi万能钥匙将推出独创的全时段、全流量、全过程的安全通道,保护用户的网络支付安全及账户、密码等各类信息安全;

4、WiFi万能钥匙于2014年起推出智能防钓鱼WiFi云防护平台,用户也可通过此平台举报钓鱼WiFi,目前该平台已准确识别并屏蔽超过70000个钓鱼WiFi热点;

5、WiFi万能钥匙自发布之日起就在软件界面醒目位置,向用户提供安全资讯,普及网络安全常识,提高用户自我防护能力;

6、WiFi万能钥匙已于多家路由器厂商合作,共同研发软、硬件合作WiFi安全方案。

WiFi万能钥匙究竟安全不安全?

央视曝光了WiFi万能钥匙的安全隐患,但WiFi万能钥匙却拿出报告证明自己通过了工信部下属信息产业通信软件测评中心的检测。到底WiFi万能钥匙安全不安全?

Bianews咨询了网络安全领域的专家。

一位网络安全技术专家表示,WiFi万能钥匙的本质还是把用户私人的WiFi密码共享给其他使用该软件的人,潜在的增加了WiFi用户的安全风险。

以WiFi万能钥匙3.2.3版本为例,某专业人士曾发表过一份技术分析报告(报告详细内容见http://drops.wooyun.org/papers/4976),分析结果显示:

此版本的WiFi万能钥匙不会主动把root之后手机保存的无线密码发向云端,但在做备份操作(安装时默认勾选自动备份)时会发送,当有足够的用户使用该应用时,云端就拥有一个庞大的WiFi数据库。

查询WiFi密码时,应用会发送目标的ssid,mac信息向云端做查询,获取到的密码到本地之后并不是明文的,而是一个AES加密,本地解密后连接目标WiFi。同时内置了常见的2000条WiFi弱口令,在云端没有该WiFi密码的时候,可以尝试爆破目标的密码。

类似“WiFi万能钥匙”之类的软件,往往会将WiFi密码共享给其他使用这类软件的手机,造成隐私信息泄露;攻击者可以通过共享的WiFi攻击其他使用同一个WiFi的用户。

因此可以理解为,经检测后的WiFi万能钥匙本身没有信息窃取、远程控制等行为,但它可以被当作恶意行为的工具,如同一把厨房里的菜刀,放在那是安全的,但也可以当作伤人的利器。

加强对WIFI风险的认识,可行的做法包括

1、切忌随意连接未知来源的WIFI网络;

2、在公共WIFI上不要进行网购和网银等重要操作,避免个人信息的泄露;进行银行转账或购物时,使用手机运行商的移动数据网络连接比公共WiFi更安全;

3. 不要随意访问未知资源,比如别人发来的未知网址或二维码等;

4、手机安全软件提示病毒时,切忌铤而走险;

对于家用WIFI,可以通过恰当地配置家用路由器来提高安全性:

1. 对WIFI启用尽可能安全的加密方式,如WPA2;

2. 设置WIFI密码时,位数至少8位,建议16位以上,尽量复杂,应当至少包括大写字母、小写字母、数字、特殊符号者四种中的三种;

3. 定期修改Wifi密码;

4. 建议不要使用第三方的WIFI共享之类的手机软件。这类软件往往会将您家里的WIFI密码发送到其他使用这种软件手机上,导致信息泄露。如果有朋友来做客想用你家的WIFI, 请确认他/她手机里没有类似的破解软件;

5. 很多家用路由器管理界面的缺省用户名密码都是admin,要记得把这个帐号和密码修改掉。

6. 如果具备一定的网络知识,还可以进一步启用家用WIFI路由器上的高级安全功能,如Mac地址绑定,关闭SSID广播等。

WeMedia科技中心出品

Bianews是主要成员,专注互联网公司 大新闻和小八卦,只讲故事,不讲道理。微信:bianews8。