|
手机WiFi万能钥匙被多家媒体爆料,其所谓的分享WiFi密码,实质更多是主动收集装有APP的用户手机无线数据,存在安全隐患。 多位网友在知乎网站上分享了对手机WiFi万能钥匙的看法。有用户将手机WiFi万能钥匙进行反编译后发现,该应用获取了安卓用户的Root权限,访问到存储无线账号数据的系统文件,并复制到了自己的缓存目录下,而这意味着获取了安装此款APP的手机登陆过的所有WiFi热点和明文密码。 手机WiFi万能钥匙的工作原理 要证据看源码,把手机WiFi万能钥匙的安装包反编译后在1051行我们看到了这个:
图一 手机wifi万能钥匙如何收集用户数据 const-string v3, "cat /data/misc/wifi/wpa_supplicant.conf>/data/data/com.snda.wifilocating/wifi.confn" 拿Android系统为例做一下科普 Android手机中的Wi-Fi数据被储存在一个名为“wpa_supplicant.conf”的文件里的,通常路径是/data/misc/wifi/wpa_supplicant.conf。这是个系统文件,包括这个data目录,权限不够高是无法访问的(所以软件会提示你需要root手机),而这个文件极其重要,得到了这个文件,或者能看到这个文件里的内容,就意味着能得到这台手机登录过的所有Wi-Fi热点信息,包括它们的明文密码! 而这行代码显示,手机WiFi万能钥匙就是看了这个文件里的内容。而且更无语的是,这哪里仅仅是访问,还赤裸裸地将其复制(cat > filename 命令)到了自己的缓存目录com.snda.wifilocating下!最后大家注意,反编译用的还是1.0版本,当时还没有热点备份功能,源码上却做了这种小动作?什么行为? 所谓的“破解”无非是一个用户用手机WiFi万能钥匙输入Wi-Fi密码之后被软件收集并上传,而第二个人通过云端获得密码的过程。我们手机连一个WiFi输入一次密码后下次会自动登陆的原因跟这个异曲同工,都是被系统记录,下次直接读缓存一样。
图二 手机wifi万能钥匙如何收集用户数据 肯定会有人讲,我不在乎被蹭网,但是有没有想过蹭网事小,安全事大。用无线网买东西,聊QQ,用个人电脑等企业软件办公(这就是所谓的BYOD了),你的个人隐私暴露事小,坑了公司事大。 同样的隐患还来自于传输阶段,如果这些wifi密码从手机端会穿服务器或者分享密码的过程是明码传输?软件方没有定义wifi密码进行任何加密?等等这些都是潜在隐患,可以轻易被黑客将数据劫持走。 wifi安全的一些建议 1、不要轻易分享你的wifi给任何人,尤其是那些装有类似软件的手机或其他设备。 2、不要轻易连接陌生的wifi网络,尤其是那些没有密码的,包括公共wifi,并且切忌不要用这个wifi网购和进行任何涉及财产安全的操作。 3、定期修改三码:wifi密码、PIN码(可重新生成,无用时最好关闭WPS)、Web后台登录密码。
图三 手机wifi万能钥匙如何收集用户数据 4、关闭SSID广播。不要用“隐藏SSID”这类功能,可以创建一个公开的Guest SSID,也就是我们所说的客人网络(路由上也叫多“SSID”),专门给客人用。内网隔离,有必要的话可以加QoS,这样起码可以确保自己的主SSID不会被无意分享出去。
图四 手机wifi万能钥匙如何收集用户数据 5、MAC地址绑定以及各种路由器安全设置、策略能上就上3、4、5在路由后台都可以自己设置。 可不要再抱着“我没有被黑的价值”的侥幸心理,别以为黑客们只对BAT这些大企业下手,支付宝里300块也是钱,何况那么简单能拿到。虽然黑客不黑你,却可以拿你的电脑当跳板去干其他一些被查水表的事(这就是所谓的肉鸡),到时警察跨省找的可是你。 我是迅维网的编辑:hcrt,负责“网络”“手机”“工具”“发现”栏目的编辑工作,开启投稿与下载分互换模式。多多投稿与支持! 联系方式:QQ1669528969 邮箱:1669528969@qq.com |
/1 
