信息来源:中国信息产业网
蹭网软件背后有多少安全陷阱
调查动机
随着移动互联网的发展,上网似乎成为公众生活中难以分割的一部分。面对随时随地的上网需求,各类蹭网移动应用程序相继出现。使用这些程序,网友不需密码即可连接他人的无线网络。这种看似方便的上网方式背后,其实藏着不少风险。
近日,工业和信息化部官网针对蹭网类移动应用程序作出专门通报。通报称,近日据有关媒体报道,移动应用程序“WiFi万能钥匙”和“WiFi钥匙”具有免费向用户提供使用他人WiFi网络的功能,涉嫌入侵他人WiFi网络和窃取用户个人信息。工业和信息化部网络安全管理局对此高度重视,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WiFi网络密码等信息的功能。目前,工业和信息化部网络安全管理局已要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据网络安全法等法律法规进行处理,维护广大网民的合法权益。
蹭网类移动应用现状如何?又可能引发哪些问题?《法制日报》记者对此进行了采访。
用户密码“莫名”被分享
杨辰是北京一家理发店的造型师。一次,杨辰在帮来店客户连接无线网时意外发现,店里的WiFi在一款蹭网类移动应用的可连接列表中,并可以被直接连接。
杨辰当时觉得有些奇怪,客人走后,他随即更换了密码。之后,再用那款蹭网类移动应用程序搜索时,杨辰没有发现店里的WiFi。
“店里的员工都没有使用过这种软件,我不能确定它是怎么得到我们密码的。”杨辰说,可能是有客人将密码存入了那款应用程序,也可能是被恶意破解了。
“类似应用多如牛毛,一般用户可能在不注意的情况下就把密码分享出去了。”李星在北京一家化工公司工作,休息日喜欢带朋友回家玩。今年3月的一个周末,一个同事在他家里连接WiFi时顺手打开一个蹭网类移动应用,打开密码输入页面后将手机递给李星,李星输完密码后发现弹出了一行提示,询问是否要分享密码,因为担心以后被蹭网或者被泄露信息,他拒绝了分享。
“因为我是WiFi的主人,所以会比较谨慎,但是其他人在我家里不仔细看提示岂不是随手就点确定了?”李星认为,一般人在使用这类软件时都不会有太高的警惕性,可能扫两眼尚未看清楚内容后就随手点了确定,造成自己的WiFi密码外泄而不自知。即便如此,他还是不放心,每个月定期更换WiFi密码。
除了手机应用,记者在采访过程中发现,也有电脑用户利用这类蹭网应用盗用他人WiFi。
肖泽是一家火锅店的老板,他是在玩游戏时发现家里的WiFi被盗用。
“当时的网络延迟度太高,导致游戏中断。”肖泽说,他打开安全软件查看用网设备,发现一台陌生的设备,并根据图标判断出是一台电脑。
之后,肖泽发现,每天晚上8时左右,对方就开始连接他的WiFi网络。
为此,肖泽多次更改用户名和密码,但都没有效果。
淘宝店主付琳更换新路由器一年以来,已经禁用了20多个陌生设备。
“可以通过路由器后台把有些设备禁掉或者限速。因为每一个设备连上后都有唯一的局域网地址,禁一次就永久禁了,我现在已经禁了20多个。”付琳认为,可以通过技术手段来保护自己的权益不受侵害。
“免费网”埋信息泄露隐患
对于WiFi网络拥有者来说,蹭网类程序侵犯了他们的权益;对于蹭网的网友而言,蹭网真的既省钱又方便吗?
“蹭网族貌似占了便宜,但可能‘出卖’了自己的个人信息。”中国电信乌鲁木齐分公司网络运营和云业务中心产品维护经理刘嘉说,蹭网导致网主和蹭网者连接在同一个局域网,双方都有泄露网购账号、住址、电话号码、支付密码等重要个人信息的风险,很容易造成财产损失。
“不少用户以为蹭网只会影响网速,这低估了蹭网风险的严重性。”刘嘉举了一个例子,如果不法分子通过蹭网软件或硬件设备,连接网主网络,通过技术手段以其身份发布一些违法内容,网主很可能会承担相应的责任。“要防止被人蹭网,网主平时要经常修改路由器的登录密码,或尽量让密码复杂一些,建议密码设置符号、字母、数字组合12位以上。另外网主可以通过限制带宽来控制网速,或者直接不允许指定设备上网。
同时,很多公共场所的WiFi也可能是“钓鱼点”,蹭网者为了连接WiFi,不做分辨连续点击“同意”后,虽然网络连接成功,但也可能因此被不法分子盗取和财产相关的信息。“在不清楚陌生WiFi的安全性时,尽量不要连接。平时最好关闭WiFi自动连接设置。”刘嘉说。
而与软件蹭网不同,蹭网卡则是通过接收不同信号进行“破解”,因为机能需要,蹭网卡的功率往往是普通路由器的数十甚至上百倍,其辐射强度可想而知,对用户的身体健康会有一定影响。
刘嘉说,如果在公共场所需要连接WiFi,可以选择运营商的接入点,速度和安全都有保障。
蹭网软件多破解率走低
为进一步了解蹭网类应用的情况,记者进入一款手机应用商店,输入相应的关键词,出现了几十款类似的应用。
记者随机下载了几款蹭网类软件进行试用。打开某款软件,记者依照提示重启手机,随后搜索出38个WiFi。记者发现,相对于家用WiFi,一些公共WiFi更容易连接成功。记者在一所高校进行测试时,尝试连接其校园网,发现无需输入账号密码便能够顺利登录。
同时,记者发现,某居民小区内一个水站的WiFi也能顺利连上。此外,第一次登录成功后,后续连接不再需要输入密码。
北京市一家医院的护士张海告诉记者,她最早接触WiFi万能钥匙这类应用是在2014年,当时的破解率远高于现在。
“那个时候我常常在我家楼道里蹭邻居家的网,有时候站在窗户边、阳台上都能搜到很多可以连接的WiFi账号,连接成功也非常容易,甚至还可以用蹭来的WiFi看电视。”张海说,“那个时候我在外面租房子,没有安装无线网,所以常常‘借用’邻居的WiFi,但是自从自己家装了WiFi后就很少用了。”
张海回忆说,她当时在使用这款应用时,只需要打开手机无线网络功能,然后屏幕上就会显示出一系列WiFi账号,逐一尝试破解即可。
“我记得当时分为好几种连接方式,其中就有‘自动解锁’‘直接输入密码连接’这两个选项。如果选择‘自动解锁’,还可以选择‘进一步深度解锁’功能,破解率还是挺高的。”张海说。
背后存广告利益链条
打开一款蹭网类移动应用,记者点击进入其中一个推荐页面,发现其中内容大多为一些“标题党”性质的文章,并且含有大量广告。
记者浏览发现,几乎每隔3至4篇文章就会出现一条广告,广告内容涵盖手机换屏、减肥产品、游戏产品和线上贷款服务等。记者打开其他同类型应用,也发现了类似现象。
通过搜索,记者在网上找到一名专门给蹭网类应用投放广告的网友,此人自称是某公司商务经理,姓陈。
陈某告诉记者,他的公司从2016年开始与蹭网类移动应用合作,那时候效果非常好。2017年年初,投放广告的效果逐渐下滑,经过一段时间停止投放后,平台流量又恢复了不少。
“我们是广告代理商,客户提供推广链接,我们向官方提供开户。我们要预存费用在后台,广告才能投放进去。产品公司先给我们交1万元,我们将这1万元预存在后台,广告投放出去并且有人看到点击后,后台就会自动扣费,一次点击收费4毛钱。”陈某向记者介绍说,只要先预存费用,他就会给一个后台账号,可以看到实时数据。
陈某称,他经手的针对蹭网类移动应用投放的广告,大多是男性补肾类保健品的广告,广告会出现在应用的“推荐”页面上,但是自从今年3月份开始,这款蹭网类移动应用就开始禁投广告了。
“因为这款软件近期被查,以前涉及很多违规操作,不单是这种常规意义上的‘黑五类’广告(通常指药品、医疗器械、丰胸、减肥、增高五类广告——记者注),基本所有的广告都不给上,估计要过很长一段时间才能恢复。”陈某说。
(应采访对象要求,文中部分受访者为化名)