|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 18766|回復: 236
打印 上一主題 下一主題

“WiFi万能钥匙”损人利己 威胁网络安全

[複製鏈接]

653

主題

2

好友

6322

積分

教授

Rank: 8Rank: 8

  • TA的每日心情
    開心
    2024-10-28 08:09
  • 簽到天數: 2459 天

    [LV.Master]伴壇終老

    推廣值
    0
    貢獻值
    714
    金錢
    5895
    威望
    6322
    主題
    653

    回文勇士 文明人 附件高人 男生勳章 簽到勳章 中學生 文章勇士 附件達人 高中生 簽到達人 大學生 文章達人 教授

    跳轉到指定樓層
    樓主
    發表於 2015-11-5 21:16:05 |只看該作者 |倒序瀏覽
    151102140758971.jpg
    10月24日,中国上海,GeekPwn国际黑客挑战赛现场,各路高手云集,先后攻破40多款主流软硬件产品,移动网络支付不堪一击,智能家居设备一网打尽,安全屏障似乎形同虚设,令人印象相当深刻。
    然而,这并非全部真相。事实上,现场演示的大部分攻击行为有一个共同前提条件:攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络(俗称内网),在网络传输层构筑了一道安全边界,但网内设备间高度互信,从内部发起定向的网络监听和劫持等攻击行为易如反掌。正所谓,日防夜防,内贼难防。
    由此可见,如果把这种高度互信关系随意传递给陌生人,形同引狼入室,整个网络就不安全了,恶意攻击者可能轻松盗用存款、偷窥爱情,甚至扰乱工作和生活秩序。正因为如此,安全专家普遍建议慎用公共场所提供的WiFi热点,而家庭或工作单位WiFi热点仅授权给相互信任的亲属、朋友或同事,只要连接密码足够复杂,并定期更改密码,基本可以放心使用。总之,在公共场所不要随意“蹭网”,更不要给陌生人“蹭网”机会。
    黑客和小偷的得力助手
    不幸的是,2012年,“WiFi万能钥匙”横空出世,专干窃取并出卖WiFi热点连接密码的勾当,美其名曰“热点分享”,鼓动全民“蹭网”。从那时起,只要有人使用“WiFi万能钥匙”连接过某WiFi热点,其连接密码——打开网络大门的“钥匙”就随时可能被有意或无意地上传到“WiFi万能钥匙”的服务器,随后由其服务器偷偷散发给该热点附近的其他用户,允许他们在未知连接密码、未获授权的情况下自由接入。
    WiFi万能钥匙,盛大网络董事长兼CEO陈天桥及其首席运营官陈大年联手打造,宣称“我们希望通过构建WiFi万能钥匙这样一个互帮互助、和衷共济的热点分享平台,让免费上网有机会成为所有人的权利”。听起来很高大上的样子,而且富有互联网精神——“分享”嘛。既然如此高大上,为何不构建一个“盛大网游万能钥匙”分享盛大网游账号密码,让免费游戏也有机会成为所有人的权利?
    接入互联网需要成本,更需要防范风险,只有获得信任授权的用户才能使用家庭或工作单位的WiFi热点,至于那些公共场所的免费WiFi热点则属于开放授权,几乎人人可以获取连接密码,无所谓信任。因此,“WiFi万能钥匙”严重威胁家庭和工作单位基于WiFi热点构建的封闭网络的安全性,它是黑客和小偷的得力助手。黑客大家都懂的,而小偷则是指纯粹“蹭网”者。
    由于连接WiFi热点需要提供明文密码,即使“WiFi万能钥匙”在收集和分发连接密码时对密码进行加密,也只能使用可逆加密算法,以确保可以在用户端自行解密。这意味着,无论“WiFi万能钥匙”服务器采取多么严密的安全防护措施,其存储的海量WiFi热点均可被定向查询到明文连接密码(本人就实现了一个简单查询工具,当然绝不分享),从这个角度讲它是一个极不负责任的解决方案。
    顺便提一句,“WiFi万能钥匙”也是钓鱼WiFi的得力助手:黑客负责在人口密集区组网(需要连接密码),利用“WiFi万能钥匙”分享热点,为其安全性做伪证。嗯,一般认为,需要连接密码的WiFi网络更安全,就会放松警惕……
    处心积虑诱导“分享”和暴力破解
    对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖,它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。
    以WiFi万能钥匙最新版3.3.03为例:
    1、 默认设定为连接后即自动分享热点,且分享前不提示;
    2、 若用户更改为禁用自动分享热点,在使用密码连接成功后,仍会刻意诱导用户分享,并再次默认启用自动分享;
    3、 若无法连接,则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”,实质是基于2000个常见的弱密码进行暴力破解(每次尝试10个,并以尝试新算法为名诱导用户持续爆破,实际算法未变,变的只是密码组),且无论用户是否启用自动分享热点,凡暴力破解成功的热点均强制自动分享;
    4、 分享热点时绝不核实用户对WiFi热点所有权或控制权,甚至采取暴力破解等非法手段,但申请取消分享时反而要求提供路由器控制界面截图并发送电子邮件,以自证对WiFi热点的控制权,颠三倒四。
    2015年3月,“WiFi万能钥匙”所属公司加入中国计算机行业协会无线网络和网络安全接入技术专业委员会。本人很好奇,该委员会如何评价“WiFi万能钥匙”的上述行为。在本人看来,他们是网络安全的破坏者,不仅没有资格加入该委员会,反而应受到该委员会的警告和制裁。
    擅自收集敏感信息
    “WiFi万能钥匙”擅自收集以下敏感信息:
    1、 用户首次开启时,自动发送注册短信(短信内容前缀为“WOSL”)、自动验证并以当前手机号码为用户名自动登录,事前未询问,事后未主动告知;
    2、 收集用户手机识别码(IMEI)、SIM卡识别码(IMSI)和手机无线网卡识别码(MAC)等全部唯一标识,以及所在位置、手机品牌和型号等信息,且均明文传输;
    3、 此外,在初始化时收集大量数据加密上传(未深究,暂不确定内容和性质)。
    以上敏感信息,除了用户所在位置,其它信息均与其业务毫无关系,且未告知用户,属于侵权行为。
    用户对通过可清除的网页cookie追踪其上网行为尚且高度质疑和反感,而“WiFi万能钥匙”却非法获取用户永久性唯一标识(除非更换手机,否则无法摆脱网络追踪),意欲何为?
    2015年3月,工信部通信软件评测中心出具检验报告,为“WiFi万能钥匙”背书,声称其“未出现信息窃取等恶意行为”。本人强烈怀疑该中心的评测能力和公信力。
    明知故犯 文字游戏规避法律责任
    “为确保数据经WiFi传递时不会被盗取,使用者必需为网络进行加密程序,……只有获授权的WiFi客户端,输入加密密钥后,才可以使用WiFi网络上的资源”、“应尽量使用新一代加密技术,及选用长度较长的密码,并以英文字、数字和符号组成;关闭无线网络标识符(SSID)的广播;开启MAC Address过滤功能,只容许获授权的WiFi客户端使用WiFi资源”、“使用者对于不知名的WiFi热点,应该提高警觉,不要随便登入。因为犯罪者可能透过这类网络,窃取使用者所键入的所有数据,……”
    ——猜猜看,这都是谁说的?不是别人,正是“WiFi万能钥匙”,来自其软件内置的“安全小贴士”。俗话说,无知者无罪。然而,“WiFi万能钥匙”非常清楚如何确保WiFi网络安全,但他们怎么做的呢?他们专业提供非法连接和侵入他人WiFi网络的工具。
    《WiFi万能钥匙服务协议》声称:
    “用户自行决定提供和分享自有WiFi热点信息,或保证分享的其它热点信息(包括但不限于密码和地理位置等)在热点提供者的许可范围内以内,并保证分享的所有WiFi热点的信息安全。”
    ——如果“WiFi万能钥匙”去做房产中介,是不是只要卖房者自行保证对房产的所有权即可,无需出示房产证?如果配钥匙的偷偷复制客户房门钥匙,并偷偷送给客户的所有邻居使用,发表一个“不关我事,我不知道钥匙是否可用,也没开过他家门锁”的声明即可?
    “热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息。WiFi万能钥匙将按照法律规定予以相应处理。”
    ——只提“由其提供”,对于更普遍的由他人非法提供则绝口不提。至于“按照法律规定”,不知道是谁家的法律?根据《民法通则》第五十八条,恶意串通,损害第三人利益的,或以合法形式掩盖非法目的的行为,是无效的。“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益,且“WiFi万能钥匙”是主要受益人(攫取巨大商业利益),明显违法侵权在先,却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。
    防火,防盗,防“WiFi万能钥匙”
    怎么防?办法总比困难多:
    1、 杀手锏:启用MAC地址过滤(即使密码正确也无法接入);
    2、 定期更改WiFi热点连接密码,使用复杂密码以防暴力破解;
    3、 启用客户端隔离(大部分在用的家庭无线路由器不支持,建议升级换代);
    4、 代客人操作WiFi连接,不告知其密码,以免对方通过“WiFi万能钥匙”连接

    3510

    主題

    1162

    好友

    5萬

    積分

    管理員

    溫馨 寬容 秩序

    Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    開心
    2021-6-30 11:08
  • 簽到天數: 3171 天

    [LV.Master]伴壇終老

    推廣值
    38
    貢獻值
    47744
    金錢
    214354
    威望
    50722
    主題
    3510

    管理員

    沙發
    發表於 2015-11-7 10:27:55 |只看該作者
    不看不知道,看了吓一跳。
    安全上网很重要。


    免責聲明
    :
    1.本人所有發帖僅用來活躍論壇,請勿用于商業用途.某些貼子(含主帖及回複.包括文字圖片及音像)資料來源于網絡,版權歸原作者所有,若無意侵犯了您的權益,請與我聯系,我會盡快修改或刪除.
    2.個人隱私相互尊重.本人不向任何人提供[包括但不僅限于]真實姓名,詳細住址,手機電話及個人近照.不接收視頻,謝絕任何名義的網友實地見面活動.網友互動請用論壇提供的方式,不要給我發QQ號碼及您的私人網址.
    回復

    使用道具 舉報

    490

    主題

    9

    好友

    4900

    積分

    大學生

    超级大反派

    Rank: 6Rank: 6

  • TA的每日心情

    昨天 20:20
  • 簽到天數: 2868 天

    [LV.Master]伴壇終老

    推廣值
    0
    貢獻值
    12505
    金錢
    4916
    威望
    4900
    主題
    490

    中學生 高中生 文明人 回文勇士 簽到勳章 簽到達人 男生勳章 附件達人 大學生 附件高人 文章勇士 文章達人 伴壇終老

    板凳
    發表於 2015-11-7 17:10:01 |只看該作者
    太哀求了  呵呵呵
    請大家多給發帖者支持,有您們回應支持,才有動力去發貼!
    回復

    使用道具 舉報

    0

    主題

    0

    好友

    990

    積分

    高中生

    Rank: 4

  • TA的每日心情
    開心
    3 小時前
  • 簽到天數: 1681 天

    [LV.Master]伴壇終老

    推廣值
    0
    貢獻值
    0
    金錢
    12799
    威望
    990
    主題
    0
    地板
    發表於 2015-11-7 19:59:39 |只看該作者
    請善用帖子右下角舉報鍵,來檢舉有害網站/垃圾/宣傳帖,每個舉報會有金錢增加。
    这东西泄露了多少密码啊
    不要把自己的東西藏起來,論壇需要你的分享才能成長!!
    回復

    使用道具 舉報

    16

    主題

    4

    好友

    1262

    積分

    高中生

    Rank: 4

  • TA的每日心情
    郁悶
    2024-1-16 15:17
  • 簽到天數: 1104 天

    [LV.10]以壇為家III

    推廣值
    0
    貢獻值
    7
    金錢
    1580
    威望
    1262
    主題
    16

    簽到勳章 簽到達人

    5#
    發表於 2015-11-7 20:05:45 |只看該作者
    这样的   学习了  
    回復

    使用道具 舉報

    2

    主題

    3

    好友

    2324

    積分

    大學生

    Rank: 6Rank: 6

  • TA的每日心情
    奮斗
    2024-12-7 12:38
  • 簽到天數: 2051 天

    [LV.Master]伴壇終老

    推廣值
    0
    貢獻值
    26
    金錢
    2825
    威望
    2324
    主題
    2
    6#
    發表於 2015-11-7 20:17:10 |只看該作者
    我重来都是共享别人的   自家  不共享
    不要把自己的東西藏起來,論壇需要你的分享才能成長!!
    回復

    使用道具 舉報

    1

    主題

    8

    好友

    3145

    積分

    大學生

    Rank: 6Rank: 6

  • TA的每日心情
    奮斗
    昨天 10:23
  • 簽到天數: 1115 天

    [LV.10]以壇為家III

    推廣值
    0
    貢獻值
    1
    金錢
    8714
    威望
    3145
    主題
    1

    回文勇士 文明人 中學生 簽到勳章 簽到達人 高中生 男生勳章

    7#
    發表於 2015-11-7 20:24:21 |只看該作者
    用万能钥匙最后害的还是自己
    回復

    使用道具 舉報

    47

    主題

    0

    好友

    8888

    積分

    教授

    Rank: 8Rank: 8

  • TA的每日心情
    擦汗
    2023-10-2 20:32
  • 簽到天數: 3997 天

    [LV.Master]伴壇終老

    推廣值
    0
    貢獻值
    203
    金錢
    20011
    威望
    8888
    主題
    47

    回文勇士 文明人 中學生 高中生 簽到勳章 簽到達人 男生勳章 大學生 附件高人 教授 伴壇終老

    8#
    發表於 2015-11-7 20:29:01 |只看該作者
    有事没事改改密码
    不要把自己的東西藏起來,論壇需要你的分享才能成長!!
    回復

    使用道具 舉報

    16

    主題

    0

    好友

    208

    積分

    小學生

    Rank: 2

  • TA的每日心情
    慵懶
    2021-3-11 15:21
  • 簽到天數: 372 天

    [LV.9]以壇為家II

    推廣值
    0
    貢獻值
    0
    金錢
    20
    威望
    208
    主題
    16
    9#
    發表於 2015-11-7 20:37:05 |只看該作者
    何必呢,好讨厌蹭网的
    請大家多給發帖者支持,有您們回應支持,才有動力去發貼!
    回復

    使用道具 舉報

    11

    主題

    0

    好友

    598

    積分

    中學生

    Rank: 3Rank: 3

  • TA的每日心情
    慵懶
    2022-7-15 14:25
  • 簽到天數: 563 天

    [LV.9]以壇為家II

    推廣值
    0
    貢獻值
    0
    金錢
    117
    威望
    598
    主題
    11
    10#
    發表於 2015-11-7 21:03:00 |只看該作者
    不看不知道,看了吓一跳。
    安全上网很重要。
    不要把自己的東西藏起來,論壇需要你的分享才能成長!!
    回復

    使用道具 舉報

    您需要登錄後才可以回帖 登錄 | 按這成為會員

    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-12-21 12:41 , Processed in 3.395955 second(s), 30 queries , Gzip On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部