“WiFi万能钥匙”损人利己威胁网络安全

标签:安全存储技术产品

访客:19710  发表于:2015-11-03 10:20:35

对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖,它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。

“WiFi万能钥匙”损人利己 威胁网络安全

10月24日,中国上海,GeekPwn国际黑客挑战赛现场,各路高手云集,先后攻破40多款主流软硬件产品,移动网络支付不堪一击,智能家居设备一网打尽,安全屏障似乎形同虚设,令人印象相当深刻。

然而,这并非全部真相。事实上,现场演示的大部分攻击行为有一个共同前提条件:攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络(俗称内网),在网络传输层构筑了一道安全边界,但网内设备间高度互信,从内部发起定向的网络监听和劫持等攻击行为易如反掌。正所谓,日防夜防,内贼难防。

由此可见,如果把这种高度互信关系随意传递给陌生人,形同引狼入室,整个网络就不安全了,恶意攻击者可能轻松盗用存款、偷窥爱情,甚至扰乱工作和生活秩序。正因为如此,安全专家普遍建议慎用公共场所提供的WiFi热点,而家庭或工作单位WiFi热点仅授权给相互信任的亲属、朋友或同事,只要连接密码足够复杂,并定期更改密码,基本可以放心使用。总之,在公共场所不要随意“蹭网”,更不要给陌生人“蹭网”机会。

黑客和小偷的得力助手

不幸的是,2012年,“WiFi万能钥匙”横空出世,专干窃取并出卖WiFi热点连接密码的勾当,美其名曰“热点分享”,鼓动全民“蹭网”。从那时起,只要有人使用“WiFi万能钥匙”连接过某WiFi热点,其连接密码——打开网络大门的“钥匙”就随时可能被有意或无意地上传到“WiFi万能钥匙”的服务器,随后由其服务器偷偷散发给该热点附近的其他用户,允许他们在未知连接密码、未获授权的情况下自由接入。

WiFi万能钥匙,盛大网络董事长兼CEO陈天桥及其首席运营官陈大年联手打造,宣称“我们希望通过构建WiFi万能钥匙这样一个互帮互助、和衷共济的热点分享平台,让免费上网有机会成为所有人的权利”。听起来很高大上的样子,而且富有互联网精神——“分享”嘛。既然如此高大上,为何不构建一个“盛大网游万能钥匙”分享盛大网游账号密码,让免费游戏也有机会成为所有人的权利?

接入互联网需要成本,更需要防范风险,只有获得信任授权的用户才能使用家庭或工作单位的WiFi热点,至于那些公共场所的免费WiFi热点则属于开放授权,几乎人人可以获取连接密码,无所谓信任。因此,“WiFi万能钥匙”严重威胁家庭和工作单位基于WiFi热点构建的封闭网络的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷则是指纯粹“蹭网”者。

由于连接WiFi热点需要提供明文密码,即使“WiFi万能钥匙”在收集和分发连接密码时对密码进行加密,也只能使用可逆加密算法,以确保可以在用户端自行解密。这意味着,无论“WiFi万能钥匙”服务器采取多么严密的安全防护措施,其存储的海量WiFi热点均可被定向查询到明文连接密码(本人就实现了一个简单查询工具,当然绝不分享),从这个角度讲它是一个极不负责任的解决方案。

顺便提一句,“WiFi万能钥匙”也是钓鱼WiFi的得力助手:黑客负责在人口密集区组网(需要连接密码),利用“WiFi万能钥匙”分享热点,为其安全性做伪证。嗯,一般认为,需要连接密码的WiFi网络更安全,就会放松警惕……

处心积虑诱导“分享”和暴力破解

对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖,它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。

以WiFi万能钥匙最新版3.3.03为例:

1、 默认设定为连接后即自动分享热点,且分享前不提示;

2、 若用户更改为禁用自动分享热点,在使用密码连接成功后,仍会刻意诱导用户分享,并再次默认启用自动分享;

3、 若无法连接,则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”,实质是基于2000个常见的弱密码进行暴力破解(每次尝试10个,并以尝试新算法为名诱导用户持续爆破,实际算法未变,变的只是密码组),且无论用户是否启用自动分享热点,凡暴力破解成功的热点均强制自动分享;

4、 分享热点时绝不核实用户对WiFi热点所有权或控制权,甚至采取暴力破解等非法手段,但申请取消分享时反而要求提供路由器控制界面截图并发送电子邮件,以自证对WiFi热点的控制权,颠三倒四。

2015年3月,“WiFi万能钥匙”所属公司加入中国计算机行业协会无线网络和网络安全接入技术专业委员会。本人很好奇,该委员会如何评价“WiFi万能钥匙”的上述行为。在本人看来,他们是网络安全的破坏者,不仅没有资格加入该委员会,反而应受到该委员会的警告和制裁。

原文出自网络

“WiFi万能钥匙”损人利己 威胁网络安全

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");