專業(yè)測(cè)評(píng)揭秘：WiFi蹭網(wǎng)App如何竊取用戶信息

王濤 唐剛 白利芳

近日，相關(guān)媒體報(bào)道移動(dòng)應(yīng)用程序“WiFi萬(wàn)能鑰匙”和“WiFi鑰匙”具有免費(fèi)向用戶提供使用他人WiFi網(wǎng)絡(luò)的功能，涉嫌入侵他人WiFi網(wǎng)絡(luò)和竊取用戶個(gè)人信息。工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)此高度重視，立即組織網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)對(duì)上述兩款移動(dòng)應(yīng)用程序進(jìn)行技術(shù)分析，發(fā)現(xiàn)兩款移動(dòng)應(yīng)用程序具有共享用戶所登錄WiFi網(wǎng)絡(luò)密碼等信息的功能。目前，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局已要求上海市、福建省通信管理局開(kāi)展調(diào)查工作，將在核查的基礎(chǔ)上，依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)進(jìn)行處理，維護(hù)廣大網(wǎng)民的合法權(quán)益。

中國(guó)軟件評(píng)測(cè)中心作為國(guó)內(nèi)權(quán)威的第三方軟、硬件產(chǎn)品及系統(tǒng)安全檢測(cè)機(jī)構(gòu)，對(duì)“WiFi萬(wàn)能鑰匙”和“WiFi鑰匙”相關(guān)報(bào)道高度關(guān)注，組織“賽迪行聞戰(zhàn)隊(duì)”對(duì)兩款WiFi分享APP進(jìn)行了客觀、詳盡的技術(shù)分析。分析表明，兩款A(yù)PP均申請(qǐng)了很多敏感權(quán)限，并具有執(zhí)行多種高風(fēng)險(xiǎn)行為的能力。如果普通用戶手機(jī)安裝了這兩款A(yù)PP，那么用戶的個(gè)人信息、手機(jī)安全等并沒(méi)有掌握在用戶手中，而是取決于APP廠商的自律和其系統(tǒng)的安全措施，一旦APP廠商開(kāi)始作惡，用戶無(wú)力阻止，而若廠商系統(tǒng)的安全措施不到位，一旦被黑客攻破，造成大量用戶的個(gè)人信息和WiFi系統(tǒng)的敏感信息泄露，將可能帶來(lái)災(zāi)難性后果。因此建議對(duì)這類APP一定要慎用。

WiFi萬(wàn)能鑰匙和WiFi鑰匙兩款A(yù)PP的功能和原理類似，功能都是提供免費(fèi)WiFi分享服務(wù)的移動(dòng)應(yīng)用程序，工作原理是監(jiān)視用戶使用WiFi網(wǎng)絡(luò)的行為，將WiFi的標(biāo)識(shí)SSID、WiFi密碼等上傳到后臺(tái)服務(wù)器，形成一個(gè)龐大的WiFi信息數(shù)據(jù)庫(kù)。APP的用戶處于其WiFi數(shù)據(jù)庫(kù)中記錄的WiFi網(wǎng)絡(luò)信號(hào)范圍內(nèi)時(shí)，可從后臺(tái)下載該WiFi網(wǎng)絡(luò)的密碼，實(shí)現(xiàn)免費(fèi)使用WiFi上網(wǎng)。兩款A(yù)PP都具有龐大的用戶基數(shù)，WiFi萬(wàn)能鑰匙稱其現(xiàn)有用戶9億，月活躍用戶達(dá)到5億，WiFi鑰匙稱其數(shù)據(jù)庫(kù)保存了上億WiFi網(wǎng)絡(luò)的信息。從工作原理上來(lái)看，兩款A(yù)PP通過(guò)其大量用戶共享自己的WiFi信息形成WiFi數(shù)據(jù)庫(kù)，本身不需要對(duì)WiFi網(wǎng)絡(luò)進(jìn)行暴力破解，但其后臺(tái)服務(wù)器存在一個(gè)從大量用戶處收集的WiFi網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，里面包括了數(shù)以億計(jì)的WiFi網(wǎng)絡(luò)的各類信息，包括MAC地址、WiFi網(wǎng)絡(luò)的SSID、密碼等。

中國(guó)軟件評(píng)測(cè)中心以兩款A(yù)PP官網(wǎng)發(fā)布的Android版本為分析對(duì)象，從權(quán)限申請(qǐng)、危險(xiǎn)行為、數(shù)據(jù)安全三個(gè)方面展開(kāi)技術(shù)分析。其中WiFi萬(wàn)能鑰匙版本號(hào)為4.2.63，WiFi鑰匙版本號(hào)為5.3.0，均為下載時(shí)的最新版本。

在權(quán)限申請(qǐng)方面， WiFi萬(wàn)能鑰匙申請(qǐng)了多達(dá)31項(xiàng)權(quán)限，其中不乏敏感權(quán)限，包括修改全局系統(tǒng)設(shè)置、讀取手機(jī)狀態(tài)和身份、讀取修改/刪除外部存儲(chǔ)、獲取精準(zhǔn)位置、檢索當(dāng)前運(yùn)行的應(yīng)用程序、防止手機(jī)休眠、使用賬戶的身份驗(yàn)證憑據(jù)等。WiFi鑰匙申請(qǐng)的權(quán)限數(shù)量則更為夸張，達(dá)65項(xiàng)之多，其中的敏感權(quán)限包括獲取精準(zhǔn)位置、讀取手機(jī)狀態(tài)和身份、讀取修改/刪除外部存儲(chǔ)、安裝和卸載文件系統(tǒng)、讀取系統(tǒng)日志文件、防止手機(jī)休眠、修改全局系統(tǒng)設(shè)置、檢索當(dāng)前運(yùn)行的應(yīng)用程序等。這些權(quán)限使用不當(dāng)可能會(huì)對(duì)用戶造成危害，輕則影響手機(jī)續(xù)航等用戶體驗(yàn)，重則會(huì)造成對(duì)用戶個(gè)人信息的不當(dāng)獲取、危害系統(tǒng)安全等嚴(yán)重后果。從共享WiFi的使用目的考慮，APP申請(qǐng)如此多的權(quán)限是否必要，要打一個(gè)大大的問(wèn)號(hào)。

從對(duì)兩款A(yù)PP的動(dòng)態(tài)分析來(lái)看，也存在很多具有高度風(fēng)險(xiǎn)的行為如WiFi萬(wàn)能鑰匙行為代碼表明，其可以執(zhí)行結(jié)束其他應(yīng)用進(jìn)程、獲取用戶位置信息、查看用戶短信信息、安裝應(yīng)用程序、查看本機(jī)SIM卡的序列號(hào)、獲取已安裝包名、查看本機(jī)號(hào)碼、URL監(jiān)聽(tīng)、查看本機(jī)IMSI信息和IMEI信息、發(fā)送短信等操作。WiFi鑰匙可執(zhí)行查看用戶通訊錄、獲取用戶位置信息、查看用戶短信信息、安裝應(yīng)用程序、查看本機(jī)SIM卡的序列號(hào)、查看本機(jī)號(hào)碼、查看本機(jī)IMEI信息和IMSI信息等操作。

對(duì)兩款A(yù)PP本地?cái)?shù)據(jù)存儲(chǔ)及網(wǎng)絡(luò)通信的分析，可發(fā)現(xiàn)兩款A(yù)PP均將收集到的用戶所連WiFi信息均存儲(chǔ)在數(shù)據(jù)庫(kù)中。對(duì)兩款A(yù)PP進(jìn)行通信流量截取，發(fā)現(xiàn)APP在每次從后臺(tái)喚醒時(shí)，會(huì)請(qǐng)求后臺(tái)，發(fā)送WiFi相關(guān)信息。包括WiFi名稱、MAC地址、WiFi密碼等。

這類APP都說(shuō)明自己是WiFi共享類APP，頭頂共享經(jīng)濟(jì)、綠色、創(chuàng)想等光環(huán)，然而用戶一旦安裝了WiFi萬(wàn)能鑰匙或WiFi鑰匙，即默認(rèn)開(kāi)啟了共享WiFi功能，不管某個(gè)用戶是否是WiFi的所有者，只要他能夠連接到該WiFi，不知不覺(jué)就將WiFi的標(biāo)識(shí)、密碼等信息上傳到了廠商的服務(wù)器。兩款A(yù)PP都無(wú)法辨識(shí)用戶是否對(duì)WiFi擁有所有權(quán)，這方面潛在的法律問(wèn)題也不容忽視。而且，顯然是有意為之，取消默認(rèn)的共享功能位置隱蔽，申請(qǐng)手續(xù)十分繁瑣。

綜上所述，提示兩款A(yù)PP存在如下安全風(fēng)險(xiǎn)：

獲取大量用戶個(gè)人信息、WiFi網(wǎng)絡(luò)的敏感信息；

存儲(chǔ)、傳輸用戶個(gè)人信息、敏感信息；

幫助用戶連接未知WiFi，導(dǎo)致蜜罐、釣魚等攻擊；

服務(wù)器存儲(chǔ)大量個(gè)人信息、WiFi敏感信息，存在大規(guī)模信息泄露風(fēng)險(xiǎn)；

在無(wú)法確認(rèn)是否為WiFi所有者的情況下即默認(rèn)共享WiFi信息存在明顯的法律問(wèn)題。

中國(guó)軟件評(píng)測(cè)中心提醒廣大用戶，WiFi共享類APP存在很多潛在風(fēng)險(xiǎn)，一定要慎用。一旦因貪小便宜造成自己的個(gè)人信息被泄露或?yàn)E用，或者由于隨意連接共享WiFi被釣魚攻擊，造成賬號(hào)密碼泄露，甚至財(cái)產(chǎn)損失，都是得不償失的。

鏈接

中國(guó)軟件評(píng)測(cè)中心：

“WiFi萬(wàn)能鑰匙”和“WiFi鑰匙”存在安全風(fēng)險(xiǎn)

近日，中國(guó)軟件評(píng)測(cè)中心以“WiFi萬(wàn)能鑰匙”和“WiFi鑰匙”兩款A(yù)PP官網(wǎng)發(fā)布的Android版本為分析對(duì)象，從權(quán)限申請(qǐng)、危險(xiǎn)行為、數(shù)據(jù)安全三個(gè)方面展開(kāi)技術(shù)分析。經(jīng)過(guò)分析，提示兩款A(yù)PP存在如下安全風(fēng)險(xiǎn)：

獲取大量用戶個(gè)人信息、WIFI網(wǎng)絡(luò)的敏感信息；

存儲(chǔ)、傳輸用戶個(gè)人信息、敏感信息；

幫助用戶連接未知WIFI，導(dǎo)致蜜罐、釣魚等攻擊；

服務(wù)器存儲(chǔ)大量個(gè)人信息、WIFI敏感信息，存在大規(guī)模信息泄漏風(fēng)險(xiǎn)；

在無(wú)法確認(rèn)是否為WIFI所有者的情況下即默認(rèn)共享WIFI信息存在明顯的法律問(wèn)題。