事關9億手機用戶！兩款WIFI鑰匙測試結果出爐！

GIF

近日，相關媒體報道移動應用程序「WIFI萬能鑰匙」和「WIFI鑰匙」具有免費向用戶提供使用他人WIFI網路的功能，涉嫌入侵他人WIFI網路和竊取用戶個人信息。

工業和信息化部網路安全管理局對此高度重視，立即組織網路安全專業機構對上述兩款移動應用程序進行技術分析。

中國軟體評測中心對兩款APP進行了分析

分析表明，兩款APP均申請了很多敏感許可權，並具有執行多種高風險行為的能力。如果普通用戶手機安裝了這兩款APP，那麼用戶的個人信息、手機安全等並沒有掌握在用戶手中，而是取決於APP廠商的自律和其系統的安全措施，一旦APP廠商開始作惡，或廠商系統的安全措施不到位，大量用戶的個人信息和WIFI系統的敏感信息則會被泄露，帶來災難性性後果。

評測中心建議對這類APP一定要慎用。

WIFI共享APP工作原理

WIFI萬能鑰匙和WIFI鑰匙兩款APP的功能和原理類似，功能都是提供免費WIFI分享服務，工作原理是監視用戶使用WIFI網路的行為，將WIFI的標識SSID，WIFI密碼等上傳到後台伺服器，形成一個龐大的WIFI信息資料庫。

當APP的用戶處於其WIFI資料庫中記錄的WIFI網路信號範圍內時，可從後台下載該WIFI網路的密碼，而不需要對WIFI網路進行暴力破解即可實現免費使用WIFI上網。

GIF

兩APP都具有龐大的用戶基數，WIFI萬能鑰匙稱其現有用戶9億，月活躍用戶達到5億，WIFI鑰匙稱其資料庫保存了上億WIFI網路的信息。

可見其後台伺服器存在一個從大量用戶處收集的WIFI網路資料庫，裡面包括了數以億計的WIFI網路的各類信息，包括MAC地址、WIFI網路的SSID、密碼等。

涉及到的敏感許可權

在許可權申請方面， WIFI萬能鑰匙申請了多達31項許可權，其中不乏敏感許可權，包括修改全局系統設置、讀取手機狀態和身份、讀取修改/刪除外部存儲、獲取精準位置、檢索當前運行的應用程序、防止手機休眠、使用帳戶的身份驗證憑據等。WIFI鑰匙申請的許可權數量則更為誇張，達65項之多，其中的敏感許可權包括獲取精準位置、讀取手機狀態和身份、讀取修改/刪除外部存儲、安裝和卸載文件系統、讀取系統日誌文件、防止手機休眠、修改全局系統設置、檢索當前運行的應用程序等。

這些許可權使用不當可能會對用戶造成危害，輕則影響手機續航等用戶體驗，重則會造成對用戶個人信息的不當獲取、危害系統安全等嚴重後果。

APP的高風險行為

兩款APP也存在很多具有高度風險的行為，如WIFI萬能鑰匙可以執行結束其他應用進程、獲取用戶位置信息、查看用戶簡訊信息、安裝應用程序、查看本機SIM卡的序列號、獲取已安裝包名、查看本機號碼、URL監聽、查看本機IMSI信息和IMEI信息、發送簡訊等操作。WIFI鑰匙可執行查看用戶通訊錄、獲取用戶位置信息、查看用戶簡訊信息、安裝應用程序、查看本機SIM卡的序列號、查看本機號碼、查看本機IMEI信息和IMSI信息等操作。

此外，兩款APP均將收集到的用戶所連WIFI信息存儲在資料庫中。對兩款APP進行通信流量截取，發現APP在每次從後台喚醒時，會請求後台，發送WIFI相關信息。包括WIFI名稱，MAC地址，WIFI密碼等。

這類APP都說明自己是WIFI共享類APP，頭頂共享經濟、綠色、創想等光環，然而用戶一旦安裝了WIFI萬能鑰匙或WIFI鑰匙，即默認開啟了共享WIFI功能，不知不覺就將WIFI的標識、密碼等信息上傳到了廠商的伺服器。這導致大量用戶信息、網路信息泄露，同時連接未知WIFI也無法保障用戶的安全。

此外，兩款APP都無法辨識用戶是否對WIFI擁有所有權，這方面潛在的法律問題也不容忽視。

目前，工業和信息化部網路安全管理局已要求上海市、福建省通信管理局開展調查工作，將在核查的基礎上，依據《網路安全法》等法律法規進行處理，維護廣大網民的合法權益。

我們也提示廣大用戶，WIFI共享類APP存在很多潛在風險，一定要慎用。一旦因貪小便宜造成自己的個人信息被泄漏或濫用，或者由於隨意連接共享WIFI被釣魚攻擊，造成帳號密碼泄漏，甚至財產損失，都是得不償失的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！