首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

小到个人,大到政府机关银行都可以攻破:偷密码的万能钥匙!

去年10月24日,在上海的GeekPwn国际黑客挑战赛现场,各路高手云集,先后攻破40多款主流软硬件产品,移动网络支付不堪一击,智能家居设备一网打尽,安全屏障似乎形同虚设。

现场演示的大部分攻击行为有一个共同前提条件:攻击者和被攻击者接入同一个WiFi热点。若干设备连接同一个WiFi热点组成的本地网络(俗称内网),从内部发起定向的网络监听和劫持等攻击行为易如反掌。

如果随意把WiFi密码传递给陌生人,形同引狼入室,整个网络就不安全了,恶意攻击者可能轻松盗用存款、偷窥爱情。安全专家建议慎用公共场所提供的WiFi热点,家庭或工作单位WiFi热点仅授权给信任的人,设置的密码要足够复杂,并定期更改密码。总之,在公共场所不要随意“蹭网”,更不要给陌生人“蹭网”机会。

黑客和小偷的得力助手

不幸的是,“WiFi万能钥匙”名曰“热点分享”,鼓动全民“蹭网”。但只要有人使用“WiFi万能钥匙”连接过某WiFi热点,其连接密码——就会被上传到“WiFi万能钥匙”的服务器,随后偷偷散发给附近的其他用户,允许他们在未知连接密码、未获授权的情况下自由接入。

如果家庭或工作单位的WiFi,几乎人人可以获取连接密码,就无所谓信任,这严重威胁家庭和工作单位的封闭网络的安全性,也成为了黑客和小偷的得力助手。

处心积虑诱导“分享”和暴力破解

对于家庭或工作单位WiFi热点,“WiFi万能钥匙”的行为不是分享,而是窃取和出卖。

1、 默认设定为连接后即自动分享热点,且分享前不提示;

2、 若用户更改为禁用自动分享热点,仍会刻意诱导用户分享,并再次默认启用自动分享;

3、 若无法连接,则以帮助WiFi热点主人“找回密码”为名进行所谓“深度连接”,实质是基于2000个常见的弱密码进行暴力破解;

4、分享热点时绝不核实用户对WiFi热点所有权或控制权,但申请取消分享时反而要求提供路由器控制界面截图并发送邮件。

擅自收集敏感信息

“WiFi万能钥匙”擅自收集以下敏感信息:

1、 用户首次开启时,自动发送注册短信、自动验证并以当前手机号码为用户名自动登录;

2、 收集用户手机识别码、SIM卡识别码和手机无线网卡识别码(MAC)等全部唯一标识,以及所在位置、手机品牌和型号等信息,且均明文传输;

3、 此外,在初始化时收集大量数据加密上传。

明知故犯 文字游戏规避法律责任

《WiFi万能钥匙服务协议》声称:

“热点提供者有权利根据本公司规定的处理方式通知本公司要求从WiFi万能钥匙的数据库中剔除由其提供的热点信息。WiFi万能钥匙将按照法律规定予以相应处理。”

“WiFi万能钥匙”的热点分享实质侵害WiFi热点主人的合法权益,且“WiFi万能钥匙”是主要受益人(攫取巨大商业利益),明显违法侵权在先,却大言不惭地在善意第三人、同时也是受害人面前妄谈法律。

防火,防盗,防“WiFi万能钥匙”

怎么防?办法总比困难多:

1、 杀手锏:启用MAC地址过滤(即使密码正确也无法接入);

2、定期更改WiFi热点连接密码,使用复杂密码以防暴力破解;

3、启用客户端隔离(大部分在用的家庭无线路由器不支持,建议升级换代);

4、代客人操作WiFi连接,不告知其密码,以免对方通过“WiFi万能钥匙”连接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180331A0X8NI00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券