9亿手机客户注意！中国软件评测中心发布两款WIFI钥匙测试结果

中国软件评测中心 王涛 唐刚 白利芳

近日，相关媒体报导移动应用程序“WIFI”和“WIFI钥匙”具有免费向客户提供使用对方WIFI网络的功能，涉嫌入侵别人WIFI网路跟窃取用户个人信息。工业和信息化部网络安全管理局对此高度加强，立即组织网络安全机构对上述两款移动应用程序进行科技预测，发现两款移动应用程序具有共享客户所注册WIFI网络密码等信息的功能。目前，工业和信息化部网络安全管理局已规定上海市、福建省通信管理局开展调查工作，将在审查的基础上，依据《网络安全法》等法律规章进行处置，维护广大网民的合法权益。

中国软件评测中心作为中国权威的第三方软、硬件产品及平台安全评估机构，对“WIFI”和“WIFI钥匙”相关报道高度关注，组织“赛迪行闻战队”对两款WIFI分享APP进行了客观、详尽的科技预测。分析证实，两款APP均申请了这些敏感权限，并带有执行多种高风险行为的素质。如果普通客户电脑安装了这两款APP哪种手机好用，那么客户的个人信息、手机安全等并没有掌握在用户手中，而是取决于APP厂商的自律和其平台的安全机制，一旦APP厂商开始作恶，用户无力阻止，而若厂商平台的安全机制不到位，一旦被黑客攻破，造成长期客户的个人信息和WIFI系统的敏感信息泄露，将可能带来灾难性性后果。因此建议对这类APP一定要慎用。

WIFI和WIFI钥匙两款APP的功用和和机理类似，功能都是提供免费WIFI分享服务的移动应用程序哪种手机好用，工作原理是监控客户使用WIFI网络的行为，将WIFI的标志SSID，WIFI密码等上传到后台服务器，形成一个庞大的WIFI信息。APP的客户进入其WIFI中记录的WIFI网络信号范围内时，可从后台下载该WIFI网络的密码，实现免费使用WIFI上网。两APP都具备庞大的用户基数，WIFI称其现有用户9亿，月活跃用户超过5亿，WIFI钥匙称其保存了上亿WIFI网络的信息。从工作原理上来看，两APP通过其长期客户共享自己的WIFI信息产生WIFI，本身不需要对WIFI网络进行暴力破解，但其后台服务器存在一个从长期用户处收集的WIFI网络，里面包含了数以亿计的WIFI网络的各种信息，包括MAC地址、WIFI网络的SSID、密码等。

中国软件评测中心以两款APP官网公布的Android版本为探讨对象，从权限申请、危险行为、数据安全三个方面展开科技预测。其中WIFI版本号为4.2.63，WIFI钥匙版本号为5.3.0，均为下载时的最新版本。

在权限申请方面， WIFI申请了多达31项权限，其中不乏敏感权限，包括更改全局系统设定、读取电脑状态跟身份、读取修改/删除外部储存、获取准确位置、检索当前运行的应用程序、防止电脑休眠、使用账户的身份验证凭据等。WIFI钥匙申请的权限数量则更为夸张，达65项之多，其中的敏感权限包含获取准确位置、读取手机状态跟身份、读取修改/删除外部储存、安装和卸载文件系统、读取系统日志文件、防止电脑休眠、修改全局系统设定、检索当前运行的应用程序等。这些权限使用不当可能会对用户产生伤害，轻则制约手机续航等客户体验，重则会导致对客户个人信息的不当获取、危害系统安全等严重后果。从共享WIFI的使用目的考量，APP申请如此多的权限是否必要，要打一个大大的问号。

从对两款APP的动态预测来看，也存在诸多带有高度风险的行为如WIFI行为代码表明，其可以执行结束其他应用进程、获取客户位置信息、查看用户邮件信息、安装应用程序、查看本机SIM卡的序列号、获取已安装包名、查看本机号码、URL、查看本机IMSI信息和IMEI信息、发送邮件等操作。WIFI钥匙可执行查看用户、获取客户位置信息、查看用户邮件信息、安装应用程序、查看本机SIM卡的序列号、查看本机号码、查看本机IMEI信息和IMSI信息等操作。

对两款APP本地数据传输及网路通讯的预测，可看到两款APP均将收集至的用户所连WIFI信息均存储在中。对两款APP进行通信流量截取，发现APP在每天从后台唤醒时，会请求后台，发送WIFI相关信息。包括WIFI名称，MAC地址，WIFI密码等。

这类APP都表明自己是WIFI共享类APP，头顶共享经济、绿色、创想等光环，然而用户如果安装了WIFI或WIFI钥匙，即默认打开了共享WIFI功能，不管某个客户是否是WIFI的所有者，只要他无法连接到该WIFI，不知不觉就将WIFI的标志、密码等信息上传到了厂家的服务器。两款APP都能够识别客户是否对WIFI拥有所有权，这方面潜在的法律难题也不容忽视。而且，显然是有意为之，取消默认的共享功能位置隐蔽，申请手续十分苛刻。

综上所述，提示两款APP存在如下安全风险：

1) 获取大量客户个人信息、WIFI网络的敏感信息；

2) 存储、传输用户个人信息、敏感信息；

3) 帮助用户连接未知WIFI，导致蜜罐、钓鱼等攻击；

4) 服务器存储大量个人信息、WIFI敏感信息，存在信息泄漏风险；

5) 在未能确定能否为WIFI所有者的状况下即默认共享WIFI信息存在显著的法律难题。

我们也提醒广大用户，WIFI共享类APP存在诸多潜在风险，一定要慎用。一旦因贪小便宜造成自己的个人信息被泄漏或误用，或者因为轻易连接共享WIFI被钓鱼攻击，造成帐号密码泄露，甚至财产损失，都是得不偿失的。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-140361-1.html