专业测评揭秘:WiFi蹭网App如何窃取用户信息
2018-06-12王涛唐刚白利芳
王涛 唐刚 白利芳
近日,相关媒体报道移动应用程序“WiFi万能钥匙”和“WiFi钥匙”具有免费向用户提供使用他人WiFi网络的功能,涉嫌入侵他人WiFi网络和窃取用户个人信息。工业和信息化部网络安全管理局对此高度重视,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WiFi网络密码等信息的功能。目前,工业和信息化部网络安全管理局已要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据《网络安全法》等法律法规进行处理,维护广大网民的合法权益。
中国软件评测中心作为国内权威的第三方软、硬件产品及系统安全检测机构,对“WiFi万能钥匙”和“WiFi钥匙”相关报道高度关注,组织“赛迪行闻战队”对两款WiFi分享APP进行了客观、详尽的技术分析。分析表明,两款APP均申请了很多敏感權限,并具有执行多种高风险行为的能力。如果普通用户手机安装了这两款APP,那么用户的个人信息、手机安全等并没有掌握在用户手中,而是取决于APP厂商的自律和其系统的安全措施,一旦APP厂商开始作恶,用户无力阻止,而若厂商系统的安全措施不到位,一旦被黑客攻破,造成大量用户的个人信息和WiFi系统的敏感信息泄露,将可能带来灾难性后果。因此建议对这类APP一定要慎用。
WiFi万能钥匙和WiFi钥匙两款APP的功能和原理类似,功能都是提供免费WiFi分享服务的移动应用程序,工作原理是监视用户使用WiFi网络的行为,将WiFi的标识SSID、WiFi密码等上传到后台服务器,形成一个庞大的WiFi信息数据库。APP的用户处于其WiFi数据库中记录的WiFi网络信号范围内时,可从后台下载该WiFi网络的密码,实现免费使用WiFi上网。两款APP都具有庞大的用户基数,WiFi万能钥匙称其现有用户9亿,月活跃用户达到5亿,WiFi钥匙称其数据库保存了上亿WiFi网络的信息。从工作原理上来看,两款APP通过其大量用户共享自己的WiFi信息形成WiFi数据库,本身不需要对WiFi网络进行暴力破解,但其后台服务器存在一个从大量用户处收集的WiFi网络数据库,里面包括了数以亿计的WiFi网络的各类信息,包括MAC地址、WiFi网络的SSID、密码等。
中国软件评测中心以两款APP官网发布的Android版本为分析对象,从权限申请、危险行为、数据安全三个方面展开技术分析。其中WiFi万能钥匙版本号为4.2.63,WiFi钥匙版本号为5.3.0,均为下载时的最新版本。
在权限申请方面, WiFi万能钥匙申请了多达31项权限,其中不乏敏感权限,包括修改全局系统设置、读取手机状态和身份、读取修改/删除外部存储、获取精准位置、检索当前运行的应用程序、防止手机休眠、使用账户的身份验证凭据等。WiFi钥匙申请的权限数量则更为夸张,达65项之多,其中的敏感权限包括获取精准位置、读取手机状态和身份、读取修改/删除外部存储、安装和卸载文件系统、读取系统日志文件、防止手机休眠、修改全局系统设置、检索当前运行的应用程序等。这些权限使用不当可能会对用户造成危害,轻则影响手机续航等用户体验,重则会造成对用户个人信息的不当获取、危害系统安全等严重后果。从共享WiFi的使用目的考虑,APP申请如此多的权限是否必要,要打一个大大的问号。
从对两款APP的动态分析来看,也存在很多具有高度风险的行为如WiFi万能钥匙行为代码表明,其可以执行结束其他应用进程、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、获取已安装包名、查看本机号码、URL监听、查看本机IMSI信息和IMEI信息、发送短信等操作。WiFi钥匙可执行查看用户通讯录、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、查看本机号码、查看本机IMEI信息和IMSI信息等操作。
对两款APP本地数据存储及网络通信的分析,可发现两款APP均将收集到的用户所连WiFi信息均存储在数据库中。对两款APP进行通信流量截取,发现APP在每次从后台唤醒时,会请求后台,发送WiFi相关信息。包括WiFi名称、MAC地址、WiFi密码等。
这类APP都说明自己是WiFi共享类APP,头顶共享经济、绿色、创想等光环,然而用户一旦安装了WiFi万能钥匙或WiFi钥匙,即默认开启了共享WiFi功能,不管某个用户是否是WiFi的所有者,只要他能够连接到该WiFi,不知不觉就将WiFi的标识、密码等信息上传到了厂商的服务器。两款APP都无法辨识用户是否对WiFi拥有所有权,这方面潜在的法律问题也不容忽视。而且,显然是有意为之,取消默认的共享功能位置隐蔽,申请手续十分繁琐。
综上所述,提示两款APP存在如下安全风险:
获取大量用户个人信息、WiFi网络的敏感信息;
存储、传输用户个人信息、敏感信息;
帮助用户连接未知WiFi,导致蜜罐、钓鱼等攻击;
服务器存储大量个人信息、WiFi敏感信息,存在大规模信息泄露风险;
在无法确认是否为WiFi所有者的情况下即默认共享WiFi信息存在明显的法律问题。
中国软件评测中心提醒广大用户,WiFi共享类APP存在很多潜在风险,一定要慎用。一旦因贪小便宜造成自己的个人信息被泄露或滥用,或者由于随意连接共享WiFi被钓鱼攻击,造成账号密码泄露,甚至财产损失,都是得不偿失的。
链接
中国软件评测中心:
“WiFi万能钥匙”和“WiFi钥匙”存在安全风险
近日,中国软件评测中心以“WiFi万能钥匙”和“WiFi钥匙”两款APP官网发布的Android版本为分析对象,从权限申请、危险行为、数据安全三个方面展开技术分析。经过分析,提示两款APP存在如下安全风险:
获取大量用户个人信息、WIFI网络的敏感信息;
存储、传输用户个人信息、敏感信息;
帮助用户连接未知WIFI,导致蜜罐、钓鱼等攻击;
服务器存储大量个人信息、WIFI敏感信息,存在大规模信息泄漏风险;
在无法确认是否为WIFI所有者的情况下即默认共享WIFI信息存在明显的法律问题。
