信息通信

事关9亿手机用户!中国软件评测中心发布两款WIFI钥匙测试结果

作者:王涛 唐刚 白利芳来源:中国电子报、电子信息产业网发布时间:2018-04-12 我要评论

  中国软件评测中心 王涛 唐刚 白利芳

  近日,相关媒体报道移动应用程序“WIFI万能钥匙”和“WIFI钥匙”具有免费向用户提供使用他人WIFI网络的功能,涉嫌入侵他人WIFI网络和窃取用户个人信息。工业和信息化部网络安全管理局对此高度重视,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WIFI网络密码等信息的功能。目前,工业和信息化部网络安全管理局已要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据《网络安全法》等法律法规进行处理,维护广大网民的合法权益。

  中国软件评测中心作为国内权威的第三方软、硬件产品及系统安全检测机构,对“WIFI万能钥匙”和“WIFI钥匙”相关报道高度关注,组织“赛迪行闻战队”对两款WIFI分享APP进行了客观、详尽的技术分析。分析表明,两款APP均申请了很多敏感权限,并具有执行多种高风险行为的能力。如果普通用户手机安装了这两款APP,那么用户的个人信息、手机安全等并没有掌握在用户手中,而是取决于APP厂商的自律和其系统的安全措施,一旦APP厂商开始作恶,用户无力阻止,而若厂商系统的安全措施不到位,一旦被黑客攻破,造成大量用户的个人信息和WIFI系统的敏感信息泄露,将可能带来灾难性性后果。因此建议对这类APP一定要慎用。

  WIFI万能钥匙和WIFI钥匙两款APP的功能和和原理类似,功能都是提供免费WIFI分享服务的移动应用程序,工作原理是监视用户使用WIFI网络的行为,将WIFI的标识SSID,WIFI密码等上传到后台服务器,形成一个庞大的WIFI信息数据库。APP的用户处于其WIFI数据库中记录的WIFI网络信号范围内时,可从后台下载该WIFI网络的密码,实现免费使用WIFI上网。两APP都具有庞大的用户基数,WIFI万能钥匙称其现有用户9亿,月活跃用户达到5亿,WIFI钥匙称其数据库保存了上亿WIFI网络的信息。从工作原理上来看,两APP通过其大量用户共享自己的WIFI信息形成WIFI数据库,本身不需要对WIFI网络进行暴力破解,但其后台服务器存在一个从大量用户处收集的WIFI网络数据库,里面包括了数以亿计的WIFI网络的各类信息,包括MAC地址、WIFI网络的SSID、密码等。

  中国软件评测中心以两款APP官网发布的Android版本为分析对象,从权限申请、危险行为、数据安全三个方面展开技术分析。其中WIFI万能钥匙版本号为4.2.63,WIFI钥匙版本号为5.3.0,均为下载时的最新版本。

  在权限申请方面, WIFI万能钥匙申请了多达31项权限,其中不乏敏感权限,包括修改全局系统设置、读取手机状态和身份、读取修改/删除外部存储、获取精准位置、检索当前运行的应用程序、防止手机休眠、使用帐户的身份验证凭据等。WIFI钥匙申请的权限数量则更为夸张,达65项之多,其中的敏感权限包括获取精准位置、读取手机状态和身份、读取修改/删除外部存储、安装和卸载文件系统、读取系统日志文件、防止手机休眠、修改全局系统设置、检索当前运行的应用程序等。这些权限使用不当可能会对用户造成危害,轻则影响手机续航等用户体验,重则会造成对用户个人信息的不当获取、危害系统安全等严重后果。从共享WIFI的使用目的考虑,APP申请如此多的权限是否必要,要打一个大大的问号。

  从对两款APP的动态分析来看,也存在很多具有高度风险的行为如WIFI万能钥匙行为代码表明,其可以执行结束其他应用进程、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、获取已安装包名、查看本机号码、URL监听、查看本机IMSI信息和IMEI信息、发送短信等操作。WIFI钥匙可执行查看用户通讯录、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、查看本机号码、查看本机IMEI信息和IMSI信息等操作。

  对两款APP本地数据存储及网络通信的分析,可发现两款APP均将收集到的用户所连WIFI信息均存储在数据库中。对两款APP进行通信流量截取,发现APP在每次从后台唤醒时,会请求后台,发送WIFI相关信息。包括WIFI名称,MAC地址,WIFI密码等。

  这类APP都说明自己是WIFI共享类APP,头顶共享经济、绿色、创想等光环,然而用户一旦安装了WIFI万能钥匙或WIFI钥匙,即默认开启了共享WIFI功能,不管某个用户是否是WIFI的所有者,只要他能够连接到该WIFI,不知不觉就将WIFI的标识、密码等信息上传到了厂商的服务器。两款APP都无法辨识用户是否对WIFI拥有所有权,这方面潜在的法律问题也不容忽视。而且,显然是有意为之,取消默认的共享功能位置隐蔽,申请手续十分繁琐。

  综上所述,提示两款APP存在如下安全风险:

  1) 获取大量用户个人信息、WIFI网络的敏感信息;

  2) 存储、传输用户个人信息、敏感信息;

  3) 帮助用户连接未知WIFI,导致蜜罐、钓鱼等攻击;

  4) 服务器存储大量个人信息、WIFI敏感信息,存在大规模信息泄漏风险;

  5) 在无法确认是否为WIFI所有者的情况下即默认共享WIFI信息存在明显的法律问题。

  我们也提示广大用户,WIFI共享类APP存在很多潜在风险,一定要慎用。一旦因贪小便宜造成自己的个人信息被泄漏或滥用,或者由于随意连接共享WIFI被钓鱼攻击,造成帐号密码泄漏,甚至财产损失,都是得不偿失的。


来源:中国软件评测中心            责任编辑:赵强

第十届中国家电网购高峰论坛

2月8日,由工业和信息化部赛迪研究院、中国电子报社主办的第十届中国家电网购高峰论坛在北京隆重举行。论坛同期发布了《2017年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2017年,我国B2C家电网购...

中国虚拟现实创新创业大赛-南昌赛区

2017年12月29日,中国(南昌)虚拟现实VR产业基地2017年度盛典暨中国虚拟现实创新创业大赛南昌赛区颁奖仪式在南昌举行。

中国制造企业"双创"平台建设现场会

12月28日,由中国电子信息产业发展研究院、中国制造企业双创发展联盟联合主办,中国电子报社、北京东方国信科技股份有限公司联合承办的中国制造企业“双创”平台建设现场会在北京召开,首届中国工业互联网“双创 ...

工业互联网平台建设与推广专栏

当前,全球工业互联网正处在格局未定的关键期、规模化扩张的窗口期、抢占主导权的机遇期。作为工业互联网三大要素,工业互联网平台是全要素连接的枢纽,是工业资源配置的核心,正成为领军企业竞争的新赛道、产业 ...

2018年全国工业和信息化工作会议

2017年12月25日,全国工业和信息化工作会议在京召开。会议的主要任务是,坚持以习近平新时代中国特色社会主义思想为指导,认真贯彻落实党的十九大精神和中央经济工作会议部署,总结2017年和近五年工作,分析把握 ...

砥砺奋进的五年

党的十八大以来,工业和信息化领域深入贯彻党的十八大,十八届三中、四中、五中、六中全会精神和习近平总书记系列重要讲话精神,全面实施“中国制造2025”,深入推进供给侧结构性改革,促进工业通信业平稳健康发 ...

必看 | 2017年成就平板显示产业的十大事件

2017年1月22日,由广东聚华印刷显示技术有限公司承建的广东省印刷及柔性显示创新中心成立。该中心以建设G4.5印刷OLED研发公共开发平台及印刷显示产业园为基础,攻克印刷显示产业的前沿与共性关键技术,转移并扩散...

2018年度半导体展望(附企业高层精彩观点)

2017 年全球半导体市场交出了满意的答卷,WSTS(世界半导体贸易统计组织)、Gartner 以及IC Insights 三大分析机构陆续上调了半导体产业的最高增速。据WSTS的分析数据,2017 年全球半导体业销售收入预计达3966.5 亿...

友情链接
关于我们 | 联系我们 | 设为首页 | 加入收藏 | 广告服务 | 网站地图
电子信息产业网LOGO