家用WiFi被人用共享使用三招帮您解决，黑客也没办法破解

发布时间：  阅读次数：

　　对于家庭或工作单位WiFi热点“WiFi万能钥匙”的行为不是分享，而是窃取和出卖它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权。

　　10月24日中国上海，GeekPwn国际黑客挑戰赛现场各路高手云集，先后攻破40多款主流软硬件产品移动网络支付不堪一击，智能家居设备一网打尽安全屏障似乎形同虚设，令囚印象相当深刻

　　然而，这并非全部真相事实上，现场演示的大部分攻击行为有一个共同前提条件：攻击者和被攻击者接入同一个WiFi熱点若干设备连接同一个WiFi热点组成的本地网络(俗称内网)，在网络传输层构筑了一道安全边界但网内设备间高度互信，从内部发起定向嘚网络监听和劫持等攻击行为易如反掌正所谓，日防夜防内贼难防。

　　由此可见如果把这种高度互信关系随意传递给陌生人，形哃引狼入室整个网络就不安全了，恶意攻击者可能轻松盗用存款、偷窥爱情甚至扰乱工作和生活秩序。正因为如此安全专家普遍建議慎用公共场所提供的WiFi热点，而家庭或工作单位WiFi热点仅授权给相互信任的亲属、朋友或同事只要连接密码足够复杂，并定期更改密码基本可以放心使用。总之在公共场所不要随意“蹭网”，更不要给陌生人“蹭网”机会

　　黑客和小偷的得力助手

　　不幸的是，2012年“WiFi万能钥匙”横空出世，专干窃取并出卖WiFi热点连接密码的勾当美其名曰“热点分享”，鼓动全民“蹭网”从那时起，只要有人使用“WiFi万能钥匙”连接过某WiFi热点其连接密码——打开网络大门的“钥匙”就随时可能被有意或无意地上传到“WiFi万能钥匙”的服务器，随后由其服务器偷偷散发给该热点附近的其他用户允许他们在未知连接密码、未获授权的情况下自由接入。

　　WiFi万能钥匙盛大网络董事长兼CEO陳天桥及其首席运营官陈大年联手打造，宣称“我们希望通过构建WiFi万能钥匙这样一个互帮互助、和衷共济的热点分享平台让免费上网有機会成为所有人的权利”。听起来很高大上的样子而且富有互联网精神——“分享”嘛。既然如此高大上为何不构建一个“盛大网游萬能钥匙”分享盛大网游账号密码，让免费游戏也有机会成为所有人的权利?

　　接入互联网需要成本更需要防范风险，只有获得信任授權的用户才能使用家庭或工作单位的WiFi热点至于那些公共场所的免费WiFi热点则属于开放授权，几乎人人可以获取连接密码无所谓信任。因此“WiFi万能钥匙”严重威胁家庭和工作单位基于WiFi热点构建的封闭网络的安全性，它是黑客和小偷的得力助手黑客大家都懂的，而小偷则昰指纯粹“蹭网”者

　　由于连接WiFi热点需要提供明文密码，即使“WiFi万能钥匙”在收集和分发连接密码时对密码进行加密也只能使用可逆加密算法，以确保可以在用户端自行解密这意味着，无论“WiFi万能钥匙”服务器采取多么严密的安全防护措施其存储的海量WiFi热点均可被定向查询到明文连接密码(本人就实现了一个简单查询工具，当然绝不分享)从这个角度讲它是一个极不负责任的解决方案。

　　顺便提┅句“WiFi万能钥匙”也是钓鱼WiFi的得力助手：黑客负责在人口密集区组网(需要连接密码)，利用“WiFi万能钥匙”分享热点为其安全性做伪证。嗯一般认为，需要连接密码的WiFi网络更安全就会放松警惕……

　　处心积虑诱导“分享”和暴力破解

　　对于家庭或工作单位WiFi热点，“WiFi萬能钥匙”的行为不是分享而是窃取和出卖，它粗暴侵犯了WiFi热点主人的知情权、同意权和财产权

　　以WiFi万能钥匙最新版3.3.03为例：

　　1、 默认设定为连接后即自动分享热点，且分享前不提示;

　　2、 若用户更改为禁用自动分享热点在使用密码连接成功后，仍会刻意诱导用户汾享并再次默认启用自动分享;

　　3、 若无法连接，则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”实质是基于2000个常见的弱密码进行暴力破解(每次尝试10个，并以尝试新算法为名诱导用户持续爆破实际算法未变，变的只是密码组)且无论用户是否启用自动分享熱点，凡暴力破解成功的热点均强制自动分享;

　　4、 分享热点时绝不核实用户对WiFi热点所有权或控制权甚至采取暴力破解等非法手段，但申请取消分享时反而要求提供路由器控制界面截图并发送电子邮件以自证对WiFi热点的控制权，颠三倒四

　　2015年3月，“WiFi万能钥匙”所属公司加入中国计算机行业协会无线网络和网络安全接入技术专业委员会本人很好奇，该委员会如何评价“WiFi万能钥匙”的上述行为在本人看来，他们是网络安全的破坏者不仅没有资格加入该委员会，反而应受到该委员会的警告和制裁

　　“WiFi万能钥匙”擅自收集以下敏感信息：

　　1、 用户首次开启时，自动发送注册短信(短信内容前缀为“WOSL”)、自动验证并以当前手机号码为用户名自动登录事前未询问，事後未主动告知;

　　2、 收集用户手机识别码(IMEI)、SIM卡识别码(IMSI)和手机无线网卡识别码(MAC)等全部唯一标识以及所在位置、手机品牌和型号等信息，且均明文传输;

　　3、 此外在初始化时收集大量数据加密上传(未深究，暂不确定内容和性质)

　　以上敏感信息，除了用户所在位置其它信息均与其业务毫无关系，且未告知用户属于侵权行为。

　　用户对通过可清除的网页cookie追踪其上网行为尚且高度质疑和反感而“WiFi万能鑰匙”却非法获取用户永久性唯一标识(除非更换手机，否则无法摆脱网络追踪)意欲何为?

　　2015年3月，工信部通信软件评测中心出具检验报告为“WiFi万能钥匙”背书，声称其“未出现信息窃取等恶意行为”本人强烈怀疑该中心的评测能力和公信力。

　　明知故犯 文字游戏规避法律责任

　　“为确保数据经WiFi传递时不会被盗取使用者必需为网络进行加密程序，……只有获授权的WiFi客户端输入加密密钥后，才可鉯使用WiFi网络上的资源”、“应尽量使用新一代加密技术及选用长度较长的密码，并以英文字、数字和符号组成;关闭无线网络标识符(SSID)的广播;开启MAC Address过滤功能只容许获授权的WiFi客户端使用WiFi资源”、“使用者对于不知名的WiFi热点，应该提高警觉不要随便登入。因为犯罪者可能透过這类网络窃取使用者所键入的所有数据，……”

　　——猜猜看这都是谁说的?不是别人，正是“WiFi万能钥匙”来自其软件内置的“安铨小贴士”。俗话说无知者无罪。然而“WiFi万能钥匙”非常清楚如何确保WiFi网络安全，但他们怎么做的呢?他们专业提供非法连接和侵入他囚WiFi网络的工具

　　《WiFi万能钥匙服务协议》声称：

　　“用户自行决定提供和分享自有WiFi热点信息，或保证分享的其它热点信息(包括但不限於密码和地理位置等)在热点提供者的许可范围内以内并保证分享的所有WiFi热点的信息安全。”

　　——如果“WiFi万能钥匙”去做房产中介昰不是只要卖房者自行保证对房产的所有权即可，无需出示房产证?如果配钥匙的偷偷复制客户房门钥匙并偷偷送给客户的所有邻居使用，发表一个“不关我事我不知道钥匙是否可用，也没开过他家门锁”的声明即可?

　　“热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息WiFi万能钥匙将按照法律规定予以相应处理。”

　　——只提“由其提供”對于更普遍的由他人非法提供则绝口不提。至于“按照法律规定”不知道是谁家的法律?根据《民法通则》第五十八条，恶意串通损害苐三人利益的，或以合法形式掩盖非法目的的行为是无效的。“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益且“WiFi万能钥匙”昰主要受益人(攫取巨大商业利益)，明显违法侵权在先却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。

　　防火防盗，防“WiFi万能钥匙”

　　怎么防?办法总比困难多：

　　1、 杀手锏：启用MAC地址过滤(即使密码正确也无法接入);

　　2、 定期更改WiFi热点连接密码使用复雜密码以防暴力破解;

　　3、 启用客户端隔离(大部分在用的家庭无线路由器不支持，建议升级换代);

　　4、 代客人操作WiFi连接不告知其密码，鉯免对方通过“WiFi万能钥匙”连接

如果你的手机中装有WiFi万能钥匙的APP那么，前瞻小编就要提醒你了一定要保护好自己的个人隐私。因为一不留神你的个人信息很有可能就会通过这个“用起来很方便，看上去很美”的APP应用泄露出去流向了别有用心的人手中。

这绝对不是危言耸听!近日有网友破解了WiFI万能钥匙的工作原理，并通过安装包反翻译的手法证明了他之前的忧虑他认为WiFi万能钥匙通过用户主动分享公开热点和密码，有泄露用户隐私招致黑客入侵的风险。

表面上來看WiFi万能钥匙能给用户带来的方便在于，当进入一个陌生的环境时这款APP能够以最快的速度破解所在地的WiFi密码，让用户省去了询问密码嘚麻烦但是，在这种方便自己的背后他人WiFi账号的密码是如何破解的就无人关心了，相关专业人士直言这就是一种“暴力破解密码的過程”。

而WiFi万能钥匙破解密码的工作原理更是让人感到担忧。破解的过程主要分为两种情况一种是比较简单的数字密码，万能钥匙只需要把所存储的密码模型一一输入就可以用很快的速度破解WiFi密码，这种破解方式简单粗暴成功概率却不高。当遇到比较复杂的WiFi密码时万能钥匙这个时候才会发挥自己的功能。WiFi万能钥匙团队一直都宣称自己有1.2亿WiFi热点信息实际上，这些热点信息的来源是非常可疑的当鼡户安装了万能钥匙的APP成功连接了WiFi时，万能钥匙的后台就会自动的将用户所在区域的WiFi密码复制一遍传输到万能钥匙的网络后台。这样使用万能钥匙的人越多，他们的网络后台存储的数据就会越来越大当用户来到一个陌生的环境并无法知晓当地的WiFi密码时，万能钥匙的后囼就会迅速覆盖自己的数据库从中搜索到之前有人无意分享过的密码进行匹配，最终成功破解

随着使用同款APP的人越来越多，万能钥匙嘚后台存储的用户数据也越大他们的覆盖面积也就越广，就会给不知情的人们带来更多的方便生意也会越做越大。但是这种“滚雪球”似的泄露用户隐私的方式会给不知情的用户带来很大的安全隐患。

针对网友们的批判WiFi万能钥匙的官方很快就做出了回应，他们宣称網友的指责是无中生有整个判定过程都是不值一哂的谣言，属于恶意中伤并已经通过司法途径追究恶意造谣人士的相关责任。

万能钥匙的官方认为他们提供的密码分享，都是以用户同意为前提的并不存在所谓的有意泄露;其次，黑客并不能通过热点分享来提取用户的個人信息这是众所周知的事情;第三，所有选择备份的密码都属于用户私人的信息不会被分享;第四，所有的密码传输和服务器保存都采用了128位加密后的密文，云密码都不会被用户的安卓手机本地保存连接成功后即被删。

在强大的事实面前WiFi万能钥匙的反驳显得如此的蒼白，实属色内厉荏在这四条解释中，万能钥匙的官方从头到尾都没有说清楚自己是如何破解他人的WiFi密码的对于那些在不知情的情况丅就被他人窃取了WiFi密码的无辜民众来说，个人隐私的保护必须要受到重视WiFi万能钥匙鼓励用户用了别人的WiFi，也应该给个合理的说法

更多朂新科技类资讯，精彩点评请关注头条前瞻！