中国软件评测中心 王涛 唐刚 白利芳
近日,相关媒体报道移动应用程序“WIFI万能钥匙”和“WIFI钥匙”具有免费向用户提供使用他人WIFI网络的功能,涉嫌入侵他人WIFI网络和窃取用户个人信息。工业和信息化部网络安全管理局对此高度重视,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WIFI网络密码等信息的功能。目前,工业和信息化部网络安全管理局已要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据《网络安全法》等法律法规进行处理,维护广大网民的合法权益。
中国软件评测中心作为国内权威的第三方软、硬件产品及系统安全检测机构,对“WIFI万能钥匙”和“WIFI钥匙”相关报道高度关注,组织“赛迪行闻战队”对两款WIFI分享APP进行了客观、详尽的技术分析。分析表明,两款APP均申请了很多敏感权限,并具有执行多种高风险行为的能力。如果普通用户手机安装了这两款APP,那么用户的个人信息、手机安全等并没有掌握在用户手中,而是取决于APP厂商的自律和其系统的安全措施,一旦APP厂商开始作恶,用户无力阻止,而若厂商系统的安全措施不到位,一旦被黑客攻破,造成大量用户的个人信息和WIFI系统的敏感信息泄露,将可能带来灾难性性后果。因此建议对这类APP一定要慎用。
WIFI万能钥匙和WIFI钥匙两款APP的功能和和原理类似,功能都是提供免费WIFI分享服务的移动应用程序,工作原理是监视用户使用WIFI网络的行为,将WIFI的标识SSID,WIFI密码等上传到后台服务器,形成一个庞大的WIFI信息数据库。APP的用户处于其WIFI数据库中记录的WIFI网络信号范围内时,可从后台下载该WIFI网络的密码,实现免费使用WIFI上网。两APP都具有庞大的用户基数,WIFI万能钥匙称其现有用户9亿,月活跃用户达到5亿,WIFI钥匙称其数据库保存了上亿WIFI网络的信息。从工作原理上来看,两APP通过其大量用户共享自己的WIFI信息形成WIFI数据库,本身不需要对WIFI网络进行暴力破解,但其后台服务器存在一个从大量用户处收集的WIFI网络数据库,里面包括了数以亿计的WIFI网络的各类信息,包括MAC地址、WIFI网络的SSID、密码等。
中国软件评测中心以两款APP官网发布的Android版本为分析对象,从权限申请、危险行为、数据安全三个方面展开技术分析。其中WIFI万能钥匙版本号为4.2.63,WIFI钥匙版本号为5.3.0,均为下载时的最新版本。
在权限申请方面, WIFI万能钥匙申请了多达31项权限,其中不乏敏感权限,包括修改全局系统设置、读取手机状态和身份、读取修改/删除外部存储、获取精准位置、检索当前运行的应用程序、防止手机休眠、使用帐户的身份验证凭据等。WIFI钥匙申请的权限数量则更为夸张,达65项之多,其中的敏感权限包括获取精准位置、读取手机状态和身份、读取修改/删除外部存储、安装和卸载文件系统、读取系统日志文件、防止手机休眠、修改全局系统设置、检索当前运行的应用程序等。这些权限使用不当可能会对用户造成危害,轻则影响手机续航等用户体验,重则会造成对用户个人信息的不当获取、危害系统安全等严重后果。从共享WIFI的使用目的考虑,APP申请如此多的权限是否必要,要打一个大大的问号。
从对两款APP的动态分析来看,也存在很多具有高度风险的行为如WIFI万能钥匙行为代码表明,其可以执行结束其他应用进程、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、获取已安装包名、查看本机号码、URL监听、查看本机IMSI信息和IMEI信息、发送短信等操作。WIFI钥匙可执行查看用户通讯录、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、查看本机号码、查看本机IMEI信息和IMSI信息等操作。
对两款APP本地数据存储及网络通信的分析,可发现两款APP均将收集到的用户所连WIFI信息均存储在数据库中。对两款APP进行通信流量截取,发现APP在每次从后台唤醒时,会请求后台,发送WIFI相关信息。包括WIFI名称,MAC地址,WIFI密码等。
这类APP都说明自己是WIFI共享类APP,头顶共享经济、绿色、创想等光环,然而用户一旦安装了WIFI万能钥匙或WIFI钥匙,即默认开启了共享WIFI功能,不管某个用户是否是WIFI的所有者,只要他能够连接到该WIFI,不知不觉就将WIFI的标识、密码等信息上传到了厂商的服务器。两款APP都无法辨识用户是否对WIFI拥有所有权,这方面潜在的法律问题也不容忽视。而且,显然是有意为之,取消默认的共享功能位置隐蔽,申请手续十分繁琐。
综上所述,提示两款APP存在如下安全风险:
1) 获取大量用户个人信息、WIFI网络的敏感信息;
2) 存储、传输用户个人信息、敏感信息;
3) 帮助用户连接未知WIFI,导致蜜罐、钓鱼等攻击;
4) 服务器存储大量个人信息、WIFI敏感信息,存在大规模信息泄漏风险;
5) 在无法确认是否为WIFI所有者的情况下即默认共享WIFI信息存在明显的法律问题。
我们也提示广大用户,WIFI共享类APP存在很多潜在风险,一定要慎用。一旦因贪小便宜造成自己的个人信息被泄漏或滥用,或者由于随意连接共享WIFI被钓鱼攻击,造成帐号密码泄漏,甚至财产损失,都是得不偿失的。
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
