王濤 唐剛 白利芳

近日，相關(guān)媒體報道移動應(yīng)用程序“WiFi萬能鑰匙”和“WiFi鑰匙”具有免費向用戶提供使用他人WiFi網(wǎng)絡(luò)的功能，涉嫌入侵他人WiFi網(wǎng)絡(luò)和竊取用戶個人信息。工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對此高度重視，立即組織網(wǎng)絡(luò)安全專業(yè)機構(gòu)對上述兩款移動應(yīng)用程序進行技術(shù)分析，發(fā)現(xiàn)兩款移動應(yīng)用程序具有共享用戶所登錄WiFi網(wǎng)絡(luò)密碼等信息的功能。目前，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局已要求上海市、福建省通信管理局開展調(diào)查工作，將在核查的基礎(chǔ)上，依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)進行處理，維護廣大網(wǎng)民的合法權(quán)益。

中國軟件評測中心作為國內(nèi)權(quán)威的第三方軟、硬件產(chǎn)品及系統(tǒng)安全檢測機構(gòu)，對“WiFi萬能鑰匙”和“WiFi鑰匙”相關(guān)報道高度關(guān)注，組織“賽迪行聞戰(zhàn)隊”對兩款WiFi分享APP進行了客觀、詳盡的技術(shù)分析。分析表明，兩款A(yù)PP均申請了很多敏感權(quán)限，并具有執(zhí)行多種高風(fēng)險行為的能力。如果普通用戶手機安裝了這兩款A(yù)PP，那么用戶的個人信息、手機安全等并沒有掌握在用戶手中，而是取決于APP廠商的自律和其系統(tǒng)的安全措施，一旦APP廠商開始作惡，用戶無力阻止，而若廠商系統(tǒng)的安全措施不到位，一旦被黑客攻破，造成大量用戶的個人信息和WiFi系統(tǒng)的敏感信息泄露，將可能帶來災(zāi)難性后果。因此建議對這類APP一定要慎用。

WiFi萬能鑰匙和WiFi鑰匙兩款A(yù)PP的功能和原理類似，功能都是提供免費WiFi分享服務(wù)的移動應(yīng)用程序，工作原理是監(jiān)視用戶使用WiFi網(wǎng)絡(luò)的行為，將WiFi的標(biāo)識SSID、WiFi密碼等上傳到后臺服務(wù)器，形成一個龐大的WiFi信息數(shù)據(jù)庫。APP的用戶處于其WiFi數(shù)據(jù)庫中記錄的WiFi網(wǎng)絡(luò)信號范圍內(nèi)時，可從后臺下載該WiFi網(wǎng)絡(luò)的密碼，實現(xiàn)免費使用WiFi上網(wǎng)。兩款A(yù)PP都具有龐大的用戶基數(shù)，WiFi萬能鑰匙稱其現(xiàn)有用戶9億，月活躍用戶達(dá)到5億，WiFi鑰匙稱其數(shù)據(jù)庫保存了上億WiFi網(wǎng)絡(luò)的信息。從工作原理上來看，兩款A(yù)PP通過其大量用戶共享自己的WiFi信息形成WiFi數(shù)據(jù)庫，本身不需要對WiFi網(wǎng)絡(luò)進行暴力破解，但其后臺服務(wù)器存在一個從大量用戶處收集的WiFi網(wǎng)絡(luò)數(shù)據(jù)庫，里面包括了數(shù)以億計的WiFi網(wǎng)絡(luò)的各類信息，包括MAC地址、WiFi網(wǎng)絡(luò)的SSID、密碼等。

中國軟件評測中心以兩款A(yù)PP官網(wǎng)發(fā)布的Android版本為分析對象，從權(quán)限申請、危險行為、數(shù)據(jù)安全三個方面展開技術(shù)分析。其中WiFi萬能鑰匙版本號為4.2.63，WiFi鑰匙版本號為5.3.0，均為下載時的最新版本。

在權(quán)限申請方面， WiFi萬能鑰匙申請了多達(dá)31項權(quán)限，其中不乏敏感權(quán)限，包括修改全局系統(tǒng)設(shè)置、讀取手機狀態(tài)和身份、讀取修改/刪除外部存儲、獲取精準(zhǔn)位置、檢索當(dāng)前運行的應(yīng)用程序、防止手機休眠、使用賬戶的身份驗證憑據(jù)等。WiFi鑰匙申請的權(quán)限數(shù)量則更為夸張，達(dá)65項之多，其中的敏感權(quán)限包括獲取精準(zhǔn)位置、讀取手機狀態(tài)和身份、讀取修改/刪除外部存儲、安裝和卸載文件系統(tǒng)、讀取系統(tǒng)日志文件、防止手機休眠、修改全局系統(tǒng)設(shè)置、檢索當(dāng)前運行的應(yīng)用程序等。這些權(quán)限使用不當(dāng)可能會對用戶造成危害，輕則影響手機續(xù)航等用戶體驗，重則會造成對用戶個人信息的不當(dāng)獲取、危害系統(tǒng)安全等嚴(yán)重后果。從共享WiFi的使用目的考慮，APP申請如此多的權(quán)限是否必要，要打一個大大的問號。

從對兩款A(yù)PP的動態(tài)分析來看，也存在很多具有高度風(fēng)險的行為如WiFi萬能鑰匙行為代碼表明，其可以執(zhí)行結(jié)束其他應(yīng)用進程、獲取用戶位置信息、查看用戶短信信息、安裝應(yīng)用程序、查看本機SIM卡的序列號、獲取已安裝包名、查看本機號碼、URL監(jiān)聽、查看本機IMSI信息和IMEI信息、發(fā)送短信等操作。WiFi鑰匙可執(zhí)行查看用戶通訊錄、獲取用戶位置信息、查看用戶短信信息、安裝應(yīng)用程序、查看本機SIM卡的序列號、查看本機號碼、查看本機IMEI信息和IMSI信息等操作。

對兩款A(yù)PP本地數(shù)據(jù)存儲及網(wǎng)絡(luò)通信的分析，可發(fā)現(xiàn)兩款A(yù)PP均將收集到的用戶所連WiFi信息均存儲在數(shù)據(jù)庫中。對兩款A(yù)PP進行通信流量截取，發(fā)現(xiàn)APP在每次從后臺喚醒時，會請求后臺，發(fā)送WiFi相關(guān)信息。包括WiFi名稱、MAC地址、WiFi密碼等。

這類APP都說明自己是WiFi共享類APP，頭頂共享經(jīng)濟、綠色、創(chuàng)想等光環(huán)，然而用戶一旦安裝了WiFi萬能鑰匙或WiFi鑰匙，即默認(rèn)開啟了共享WiFi功能，不管某個用戶是否是WiFi的所有者，只要他能夠連接到該WiFi，不知不覺就將WiFi的標(biāo)識、密碼等信息上傳到了廠商的服務(wù)器。兩款A(yù)PP都無法辨識用戶是否對WiFi擁有所有權(quán)，這方面潛在的法律問題也不容忽視。而且，顯然是有意為之，取消默認(rèn)的共享功能位置隱蔽，申請手續(xù)十分繁瑣。

綜上所述，提示兩款A(yù)PP存在如下安全風(fēng)險：

獲取大量用戶個人信息、WiFi網(wǎng)絡(luò)的敏感信息；

存儲、傳輸用戶個人信息、敏感信息；

幫助用戶連接未知WiFi，導(dǎo)致蜜罐、釣魚等攻擊；

服務(wù)器存儲大量個人信息、WiFi敏感信息，存在大規(guī)模信息泄露風(fēng)險；

在無法確認(rèn)是否為WiFi所有者的情況下即默認(rèn)共享WiFi信息存在明顯的法律問題。

中國軟件評測中心提醒廣大用戶，WiFi共享類APP存在很多潛在風(fēng)險，一定要慎用。一旦因貪小便宜造成自己的個人信息被泄露或濫用，或者由于隨意連接共享WiFi被釣魚攻擊，造成賬號密碼泄露，甚至財產(chǎn)損失，都是得不償失的。

鏈接

中國軟件評測中心：

“WiFi萬能鑰匙”和“WiFi鑰匙”存在安全風(fēng)險

近日，中國軟件評測中心以“WiFi萬能鑰匙”和“WiFi鑰匙”兩款A(yù)PP官網(wǎng)發(fā)布的Android版本為分析對象，從權(quán)限申請、危險行為、數(shù)據(jù)安全三個方面展開技術(shù)分析。經(jīng)過分析，提示兩款A(yù)PP存在如下安全風(fēng)險：

獲取大量用戶個人信息、WIFI網(wǎng)絡(luò)的敏感信息；

存儲、傳輸用戶個人信息、敏感信息；

幫助用戶連接未知WIFI，導(dǎo)致蜜罐、釣魚等攻擊；

服務(wù)器存儲大量個人信息、WIFI敏感信息，存在大規(guī)模信息泄漏風(fēng)險；

在無法確認(rèn)是否為WIFI所有者的情況下即默認(rèn)共享WIFI信息存在明顯的法律問題。