发布时间:2015-11-02 11:30:50作者:知识屋
10月24日,中国上海,GeekPwn国际黑客挑战赛现场,各路高手云集,先后攻破40多款主流软硬件产品,移动网络支付不堪一击,智能家居设备一网打尽,安全屏障似乎形同虚设,令人印象相当深刻。
然而,这并非全部真相。事实上,现场演示的大部分攻击行为有一个共同前提条件:攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络(俗称内网),在网络传输层构筑了一道安全边界,但网内设备间高度互信,从内部发起定向的网络监听和劫持等攻击行为易如反掌。正所谓,日防夜防,内贼难防。
由此可见,如果把这种高度互信关系随意传递给陌生人,形同引狼入室,整个网络就不安全了,恶意攻击者可能轻松盗用存款、偷窥爱情,甚至扰乱工作和生活秩序。正因为如此,安全专家普遍建议慎用公共场所提供的WiFi热点,而家庭或工作单位WiFi热点仅授权给相互信任的亲属、朋友或同事,只要连接密码足够复杂,并定期更改密码,基本可以放心使用。总之,在公共场所不要随意“蹭网”,更不要给陌生人“蹭网”机会。
黑客和小偷的得力助手
不幸的是,2012年,“WiFi万能钥匙”横空出世,专干窃取并出卖WiFi热点连接密码的勾当,美其名曰“热点分享”,鼓动全民“蹭网”。从那时起,只要有人使用“WiFi万能钥匙”连接过某WiFi热点,其连接密码――打开网络大门的“钥匙”就随时可能被有意或无意地上传到“WiFi万能钥匙”的服务器,随后由其服务器偷偷散发给该热点附近的其他用户,允许他们在未知连接密码、未获授权的情况下自由接入。
WiFi万能钥匙,盛大网络董事长兼CEO陈天桥及其首席运营官陈大年联手打造,宣称“我们希望通过构建WiFi万能钥匙这样一个互帮互助、和衷共济的热点分享平台,让免费上网有机会成为所有人的权利”。听起来很高大上的样子,而且富有互联网精神――“分享”嘛。既然如此高大上,为何不构建一个“盛大网游万能钥匙”分享盛大网游账号密码,让免费游戏也有机会成为所有人的权利?
接入互联网需要成本,更需要防范风险,只有获得信任授权的用户才能使用家庭或工作单位的WiFi热点,至于那些公共场所的免费WiFi热点则属于开放授权,几乎人人可以获取连接密码,无所谓信任。因此,“WiFi万能钥匙”严重威胁家庭和工作单位基于WiFi热点构建的封闭网络的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷则是指纯粹“蹭网”者。
由于连接WiFi热点需要提供明文密码,即使“WiFi万能钥匙”在收集和分发连接密码时对密码进行加密,也只能使用可逆加密算法,以确保可以在用户端自行解密。这意味着,无论“WiFi万能钥匙”服务器采取多么严密的安全防护措施,其存储的海量WiFi热点均可被定向查询到明文连接密码(本人就实现了一个简单查询工具,当然绝不分享),从这个角度讲它是一个极不负责任的解决方案。
顺便提一句,“WiFi万能钥匙”也是钓鱼WiFi的得力助手:黑客负责在人口密集区组网(需要连接密码),利用“WiFi万能钥匙”分享热点,为其安全性做伪证。嗯,一般认为,需要连接密码的WiFi网络更安全,就会放松警惕……
处心积虑诱导“分享”和暴力破解
对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖,它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。
以WiFi万能钥匙最新版3.3.03为例:
1、 默认设定为连接后即自动分享热点,且分享前不提示;
2、 若用户更改为禁用自动分享热点,在使用密码连接成功后,仍会刻意诱导用户分享,并再次默认启用自动分享;
3、 若无法连接,则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”,实质是基于2000个常见的弱密码进行暴力破解(每次尝试10个,并以尝试新算法为名诱导用户持续爆破,实际算法未变,变的只是密码组),且无论用户是否启用自动分享热点,凡暴力破解成功的热点均强制自动分享;
4、 分享热点时绝不核实用户对WiFi热点所有权或控制权,甚至采取暴力破解等非法手段,但申请取消分享时反而要求提供路由器控制界面截图并发送电子邮件,以自证对WiFi热点的控制权,颠三倒四。
2015年3月,“WiFi万能钥匙”所属公司加入中国计算机行业协会无线网络和网络安全接入技术专业委员会。本人很好奇,该委员会如何评价“WiFi万能钥匙”的上述行为。在本人看来,他们是网络安全的破坏者,不仅没有资格加入该委员会,反而应受到该委员会的警告和制裁。
擅自收集敏感信息
“WiFi万能钥匙”擅自收集以下敏感信息:
1、 用户首次开启时,自动发送注册短信(短信内容前缀为“WOSL”)、自动验证并以当前手机号码为用户名自动登录,事前未询问,事后未主动告知;
2、 收集用户手机识别码(IMEI)、SIM卡识别码(IMSI)和手机无线网卡识别码(MAC)等全部唯一标识,以及所在位置、手机品牌和型号等信息,且均明文传输;
3、 此外,在初始化时收集大量数据加密上传(未深究,暂不确定内容和性质)。
以上敏感信息,除了用户所在位置,其它信息均与其业务毫无关系,且未告知用户,属于侵权行为。
用户对通过可清除的网页cookie追踪其上网行为尚且高度质疑和反感,而“WiFi万能钥匙”却非法获取用户永久性唯一标识(除非更换手机,否则无法摆脱网络追踪),意欲何为?
2015年3月,工信部通信软件评测中心出具检验报告,为“WiFi万能钥匙”背书,声称其“未出现信息窃取等恶意行为”。本人强烈怀疑该中心的评测能力和公信力。
明知故犯 文字游戏规避法律责任
“为确保数据经WiFi传递时不会被盗取,使用者必需为网络进行加密程序,……只有获授权的WiFi客户端,输入加密密钥后,才可以使用WiFi网络上的资源”、“应尽量使用新一代加密技术,及选用长度较长的密码,并以英文字、数字和符号组成;关闭无线网络标识符(SSID)的广播;开启MAC Address过滤功能,只容许获授权的WiFi客户端使用WiFi资源”、“使用者对于不知名的WiFi热点,应该提高警觉,不要随便登入。因为犯罪者可能透过这类网络,窃取使用者所键入的所有数据,……”
――猜猜看,这都是谁说的?不是别人,正是“WiFi万能钥匙”,来自其软件内置的“安全小贴士”。俗话说,无知者无罪。然而,“WiFi万能钥匙”非常清楚如何确保WiFi网络安全,但他们怎么做的呢?他们专业提供非法连接和侵入他人WiFi网络的工具。
《WiFi万能钥匙服务协议》声称:
“用户自行决定提供和分享自有WiFi热点信息,或保证分享的其它热点信息(包括但不限于密码和地理位置等)在热点提供者的许可范围内以内,并保证分享的所有WiFi热点的信息安全。”
――如果“WiFi万能钥匙”去做房产中介,是不是只要卖房者自行保证对房产的所有权即可,无需出示房产证?如果配钥匙的偷偷复制客户房门钥匙,并偷偷送给客户的所有邻居使用,发表一个“不关我事,我不知道钥匙是否可用,也没开过他家门锁”的声明即可?
“热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息。WiFi万能钥匙将按照法律规定予以相应处理。”
――只提“由其提供”,对于更普遍的由他人非法提供则绝口不提。至于“按照法律规定”,不知道是谁家的法律?根据《民法通则》第五十八条,恶意串通,损害第三人利益的,或以合法形式掩盖非法目的的行为,是无效的。“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益,且“WiFi万能钥匙”是主要受益人(攫取巨大商业利益),明显违法侵权在先,却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。
防火,防盗,防“WiFi万能钥匙”
怎么防?办法总比困难多:
1、 杀手锏:启用MAC地址过滤(即使密码正确也无法接入);
2、 定期更改WiFi热点连接密码,使用复杂密码以防暴力破解;
3、 启用客户端隔离(大部分在用的家庭无线路由器不支持,建议升级换代);
4、 代客人操作WiFi连接,不告知其密码,以免对方通过“WiFi万能钥匙”连接。
2014-12-08
电脑技术吧官方网站移动客户发布了!
电脑技术吧QQ交流群
关于真假电脑技术吧的一些辨别!
2012年前半年电商排名:天猫第一 京东第二
元旦放假安排2015通知, 2015元旦放假安排日历详解!
MSDN我告诉你是什么网站?MSDN是微软官方的吗?
谈百度搜索显示网站ICO图标的一些心得!
腾讯QQ数据库泄露下载地址
支付宝新春红包怎么领取 2015支付宝钱包抢红包活动攻略