10月24日,中國上海,GeekPwn國際黑客挑戰賽現場,各路高手云集,先后攻破40多款主流軟硬件產品,移動網絡支付不堪一擊,智能家居設備一網打盡,安全屏障似乎形同虛設,令人印象相當深刻。
然而,這并非全部真相。事實上,現場演示的大部分攻擊行為有一個共同前提條件:攻擊者和被攻擊者接入同一個WiFi熱點。若干設備連接同一個WiFi熱點組成的本地網絡(俗稱內網),在網絡傳輸層構筑了一道安全邊界,但網內設備間高度互信,從內部發起定向的網絡監聽和劫持等攻擊行為易如反掌。正所謂,日防夜防,內賊難防。
由此可見,如果把這種高度互信關系隨意傳遞給陌生人,形同引狼入室,整個網絡就不安全了,惡意攻擊者可能輕松盜用存款、偷窺愛情,甚至擾亂工作和生活秩序。正因為如此,安全專家普遍建議慎用公共場所提供的WiFi熱點,而家庭或工作單位WiFi熱點僅授權給相互信任的親屬、朋友或同事,只要連接密碼足夠復雜,并定期更改密碼,基本可以放心使用。總之,在公共場所不要隨意“蹭網”,更不要給陌生人“蹭網”機會。
黑客和小偷的得力助手
不幸的是,2012年,“WiFi萬能鑰匙”橫空出世,專干竊取并出賣WiFi熱點連接密碼的勾當,美其名曰“熱點分享”,鼓動全民“蹭網”。從那時起,只要有人使用“WiFi萬能鑰匙”連接過某WiFi熱點,其連接密碼——打開網絡大門的“鑰匙”就隨時可能被有意或無意地上傳到“WiFi萬能鑰匙”的服務器,隨后由其服務器偷偷散發給該熱點附近的其他用戶,允許他們在未知連接密碼、未獲授權的情況下自由接入。
WiFi萬能鑰匙,盛大網絡董事長兼CEO陳天橋及其首席運營官陳大年聯手打造,宣稱“我們希望通過構建WiFi萬能鑰匙這樣一個互幫互助、和衷共濟的熱點分享平臺,讓免費上網有機會成為所有人的權利”。聽起來很高大上的樣子,而且富有互聯網精神——“分享”嘛。既然如此高大上,為何不構建一個“盛大網游萬能鑰匙”分享盛大網游賬號密碼,讓免費游戲也有機會成為所有人的權利?
接入互聯網需要成本,更需要防范風險,只有獲得信任授權的用戶才能使用家庭或工作單位的WiFi熱點,至于那些公共場所的免費WiFi熱點則屬于開放授權,幾乎人人可以獲取連接密碼,無所謂信任。因此,“WiFi萬能鑰匙”嚴重威脅家庭和工作單位基于WiFi熱點構建的封閉網絡的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷則是指純粹“蹭網”者。
由于連接WiFi熱點需要提供明文密碼,即使“WiFi萬能鑰匙”在收集和分發連接密碼時對密碼進行加密,也只能使用可逆加密算法,以確保可以在用戶端自行解密。這意味著,無論“WiFi萬能鑰匙”服務器采取多么嚴密的安全防護措施,其存儲的海量WiFi熱點均可被定向查詢到明文連接密碼(本人就實現了一個簡單查詢工具,當然絕不分享),從這個角度講它是一個極不負責任的解決方案。
順便提一句,“WiFi萬能鑰匙”也是釣魚WiFi的得力助手:黑客負責在人口密集區組網(需要連接密碼),利用“WiFi萬能鑰匙”分享熱點,為其安全性做偽證。嗯,一般認為,需要連接密碼的WiFi網絡更安全,就會放松警惕……
處心積慮誘導“分享”和暴力破解
對于家庭或工作單位WiFi熱點,“WiFi萬能鑰匙”的行為不是分享,而是竊取和出賣,它粗暴侵犯了WiFi熱點主人的知情權、同意權和財產權。
以WiFi萬能鑰匙最新版3.3.03為例:
1、 默認設定為連接后即自動分享熱點,且分享前不提示;
2、 若用戶更改為禁用自動分享熱點,在使用密碼連接成功后,仍會刻意誘導用戶分享,并再次默認啟用自動分享;
3、 若無法連接,則以幫助WiFi熱點主人“找回密碼”為名進行所謂“深度連接”,實質是基于2000個常見的弱密碼進行暴力破解(每次嘗試10個,并以嘗試新算法為名誘導用戶持續爆破,實際算法未變,變的只是密碼組),且無論用戶是否啟用自動分享熱點,凡暴力破解成功的熱點均強制自動分享;
4、 分享熱點時絕不核實用戶對WiFi熱點所有權或控制權,甚至采取暴力破解等非法手段,但申請取消分享時反而要求提供路由器控制界面截圖并發送電子郵件,以自證對WiFi熱點的控制權,顛三倒四。
2015年3月,“WiFi萬能鑰匙”所屬公司加入中國計算機行業協會無線網絡和網絡安全接入技術專業委員會。本人很好奇,該委員會如何評價“WiFi萬能鑰匙”的上述行為。在本人看來,他們是網絡安全的破壞者,不僅沒有資格加入該委員會,反而應受到該委員會的警告和制裁。
擅自收集敏感信息
“WiFi萬能鑰匙”擅自收集以下敏感信息:
1、 用戶首次開啟時,自動發送注冊短信(短信內容前綴為“WOSL”)、自動驗證并以當前手機號碼為用戶名自動登錄,事前未詢問,事后未主動告知;
2、 收集用戶手機識別碼(IMEI)、SIM卡識別碼(IMSI)和手機無線網卡識別碼(MAC)等全部唯一標識,以及所在位置、手機品牌和型號等信息,且均明文傳輸;
3、 此外,在初始化時收集大量數據加密上傳(未深究,暫不確定內容和性質)。
以上敏感信息,除了用戶所在位置,其它信息均與其業務毫無關系,且未告知用戶,屬于侵權行為。
用戶對通過可清除的網頁cookie追蹤其上網行為尚且高度質疑和反感,而“WiFi萬能鑰匙”卻非法獲取用戶永久性唯一標識(除非更換手機,否則無法擺脫網絡追蹤),意欲何為?
2015年3月,工信部通信軟件評測中心出具檢驗報告,為“WiFi萬能鑰匙”背書,聲稱其“未出現信息竊取等惡意行為”。本人強烈懷疑該中心的評測能力和公信力。
明知故犯 文字游戲規避法律責任
“為確保數據經WiFi傳遞時不會被盜取,使用者必需為網絡進行加密程序,……只有獲授權的WiFi客戶端,輸入加密密鑰后,才可以使用WiFi網絡上的資源”、“應盡量使用新一代加密技術,及選用長度較長的密碼,并以英文字、數字和符號組成;關閉無線網絡標識符(SSID)的廣播;開啟MAC Address過濾功能,只容許獲授權的WiFi客戶端使用WiFi資源”、“使用者對于不知名的WiFi熱點,應該提高警覺,不要隨便登入。因為犯罪者可能透過這類網絡,竊取使用者所鍵入的所有數據,……”
——猜猜看,這都是誰說的?不是別人,正是“WiFi萬能鑰匙”,來自其軟件內置的“安全小貼士”。俗話說,無知者無罪。然而,“WiFi萬能鑰匙”非常清楚如何確保WiFi網絡安全,但他們怎么做的呢?他們專業提供非法連接和侵入他人WiFi網絡的工具。
《WiFi萬能鑰匙服務協議》聲稱:
“用戶自行決定提供和分享自有WiFi熱點信息,或保證分享的其它熱點信息(包括但不限于密碼和地理位置等)在熱點提供者的許可范圍內以內,并保證分享的所有WiFi熱點的信息安全。”
——如果“WiFi萬能鑰匙”去做房產中介,是不是只要賣房者自行保證對房產的所有權即可,無需出示房產證?如果配鑰匙的偷偷復制客戶房門鑰匙,并偷偷送給客戶的所有鄰居使用,發表一個“不關我事,我不知道鑰匙是否可用,也沒開過他家門鎖”的聲明即可?
“熱點提供者有權利根據本公司規定的處理方式通知本公司要求從WiFi萬能鑰匙的數據庫中剔除由其提供的熱點信息。WiFi萬能鑰匙將按照法律規定予以相應處理。”
——只提“由其提供”,對于更普遍的由他人非法提供則絕口不提。至于“按照法律規定”,不知道是誰家的法律?根據《民法通則》第五十八條,惡意串通,損害第三人利益的,或以合法形式掩蓋非法目的的行為,是無效的。“WiFi萬能鑰匙”的熱點分享實質侵害WiFi熱點主人的合法權益,且“WiFi萬能鑰匙”是主要受益人(攫取巨大商業利益),明顯違法侵權在先,卻大言不慚地在善意第三人、同時也是受害人面前妄談法律。
防火,防盜,防“WiFi萬能鑰匙”
怎么防?辦法總比困難多:
1、 殺手锏:啟用MAC地址過濾(即使密碼正確也無法接入);
2、 定期更改WiFi熱點連接密碼,使用復雜密碼以防暴力破解;
3、 啟用客戶端隔離(大部分在用的家庭無線路由器不支持,建議升級換代);
4、 代客人操作WiFi連接,不告知其密碼,以免對方通過“WiFi萬能鑰匙”連接。
京公網安備 11010502049343號