IT之家2月26日报道,近日有不少网友发现,“WiFi万能钥匙”所谓分享WiFi密码,实则主动收集安装该APP用户手机相关数据,存在重大安全风险。
WiFi万能钥匙的实现原理
知乎一位网友对WiFi万能钥匙的安装包进行了反编译,从反编译后的源代码可以看出,WiFi万能钥匙将安卓手机中的/data/misc/wifi/wpa_supplicant.conf系统文件复制到了程序自身的安装目录下,而这个“wpa_supplicant.conf”文件中保存了手机登录过的所有WiFi热点的名称和密码。
这些热点和密码上传到数据库之后有什么软件能破解wifi密码,就形成了WiFi万能钥匙所谓覆盖全国的1.2亿个WiFi热点,安装APP的用户如果恰好在相关路由器附近,就可以使用窃取到的密码免费上网。
另外,“wpa_supplicant.conf”文件是系统文件,也就是说必须获得Root权限才能访问,这也是WiFi万能钥匙需要Root权限的原因。
WiFi万能钥匙的安全风险
有人会说,我家网速这么快,分享给别人也无所谓,但家里的无线网络信息公开后,不法分子可以窃取用户的网银信息和各类账户密码有什么软件能破解wifi密码,还可以篡改DNS信息,将用户的访问重定向到预先设定的钓鱼网站,甚至以用户电脑为跳板攻击其他电脑,安全隐患极大。
如何规避WiFi万能钥匙的安全风险
1、保护好自己的WiFi,不要随意与他人共享;
2、如果朋友想借用你的无线网络,请首先确保对方的手机没有安装类似软件;
3. 定期更改密码;
4、各种路由器安全设置,如MAC地址绑定,黑/白名单等。
5、关闭路由器自身的SSID广播;
6.卸载WiFi万能钥匙等类似应用程序。
截至发稿时,WiFi万能钥匙运营商联尚网络尚未对此事做出回应。
