近日,相关媒体报道移动应用程序“WIFI万能钥匙”和“WIFI钥匙”具有免费向用户提供使用他人WIFI网络的功能,涉嫌入侵他人WIFI网络和窃取用户个人信息。工业和信息化部网络安全管理局对此高度重视,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WIFI网络密码等信息的功能。目前,工业和信息化部网络安全管理局已要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据《网络安全法》等法律法规进行处理,维护广大网民的合法权益。
中国软件评测中心作为国内权威的第三方软、硬件产品及系统安全检测机构,对“WIFI万能钥匙”和“WIFI钥匙”相关报道高度关注,组织“赛迪行闻战队”对两款WIFI分享APP进行了客观、详尽的技术分析。分析表明,两款APP均申请了很多敏感权限,并具有执行多种高风险行为的能力。如果普通用户手机安装了这两款APP,那么用户的个人信息、手机安全等并没有掌握在用户手中,而是取决于APP厂商的自律和其系统的安全措施,一旦APP厂商开始作恶,用户无力阻止,而若厂商系统的安全措施不到位,一旦被黑客攻破,造成大量用户的个人信息和WIFI系统的敏感信息泄露,将可能带来灾难性性后果。因此建议对这类APP一定要慎用。WIFI万能钥匙和WIFI钥匙两款APP的功能和和原理类似,功能都是提供免费WIFI分享服务的移动应用程序,工作原理是监视用户使用WIFI网络的行为,将WIFI的标识SSID,WIFI密码等上传到后台服务器,形成一个庞大的WIFI信息数据库。APP的用户处于其WIFI数据库中记录的WIFI网络信号范围内时,可从后台下载该WIFI网络的密码,实现免费使用WIFI上网。两APP都具有庞大的用户基数,WIFI万能钥匙称其现有用户9亿,月活跃用户达到5亿,WIFI钥匙称其数据库保存了上亿WIFI网络的信息。从工作原理上来看,两APP通过其大量用户共享自己的WIFI信息形成WIFI数据库,本身不需要对WIFI网络进行暴力破解,但其后台服务器存在一个从大量用户处收集的WIFI网络数据库,里面包括了数以亿计的WIFI网络的各类信息,包括MAC地址、WIFI网络的SSID、密码等。
中国软件评测中心以两款APP官网发布的Android版本为分析对象,从权限申请、危险行为、数据安全三个方面展开技术分析。其中WIFI万能钥匙版本号为4.2.63,WIFI钥匙版本号为5.3.0,均为下载时的最新版本。
在权限申请方面,WIFI万能钥匙申请了多达31项权限,其中不乏敏感权限,包括修改全局系统设置、读取手机状态和身份、读取修改/删除外部存储、获取精准位置、检索当前运行的应用程序、防止手机休眠、使用帐户的身份验证凭据等。WIFI钥匙申请的权限数量则更为夸张,达65项之多,其中的敏感权限包括获取精准位置、读取手机状态和身份、读取修改/删除外部存储、安装和卸载文件系统、读取系统日志文件、防止手机休眠、修改全局系统设置、检索当前运行的应用程序等。这些权限使用不当可能会对用户造成危害,轻则影响手机续航等用户体验,重则会造成对用户个人信息的不当获取、危害系统安全等严重后果。从共享WIFI的使用目的考虑,APP申请如此多的权限是否必要,要打一个大大的问号。
从对两款APP的动态分析来看,也存在很多具有高度风险的行为如WIFI万能钥匙行为代码表明,其可以执行结束其他应用进程、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、获取已安装包名、查看本机号码、URL监听、查看本机IMSI信息和IMEI信息、发送短信等操作。WIFI钥匙可执行查看用户通讯录、获取用户位置信息、查看用户短信信息、安装应用程序、查看本机SIM卡的序列号、查看本机号码、查看本机IMEI信息和IMSI信息等操作。
对两款APP本地数据存储及网络通信的分析,可发现两款APP均将收集到的用户所连WIFI信息均存储在数据库中。对两款APP进行通信流量截取,发现APP在每次从后台唤醒时,会请求后台,发送WIFI相关信息。包括WIFI名称,MAC地址,WIFI密码等。
这类APP都说明自己是WIFI共享类APP,头顶共享经济、绿色、创想等光环,然而用户一旦安装了WIFI万能钥匙或WIFI钥匙,即默认开启了共享WIFI功能,不管某个用户是否是WIFI的所有者,只要他能够连接到该WIFI,不知不觉就将WIFI的标识、密码等信息上传到了厂商的服务器。两款APP都无法辨识用户是否对WIFI拥有所有权,这方面潜在的法律问题也不容忽视。而且,显然是有意为之,取消默认的共享功能位置隐蔽,申请手续十分繁琐。
综上所述,提示两款APP存在如下安全风险:
1)获取大量用户个人信息、WIFI网络的敏感信息;
2)存储、传输用户个人信息、敏感信息;
3)帮助用户连接未知WIFI,导致蜜罐、钓鱼等攻击;
4)服务器存储大量个人信息、WIFI敏感信息,存在大规模信息泄漏风险;
5)在无法确认是否为WIFI所有者的情况下即默认共享WIFI信息存在明显的法律问题。
我们也提示广大用户,WIFI共享类APP存在很多潜在风险,一定要慎用。一旦因贪小便宜造成自己的个人信息被泄漏或滥用,或者由于随意连接共享WIFI被钓鱼攻击,造成帐号密码泄漏,甚至财产损失,都是得不偿失的。
