H********g 发帖数: 43926 | 1 【 以下文字转载自 Military 讨论区 】
发信人: Lwangls (老王老师), 信区: Military
标 题: 央视调查:WiFi万能钥匙软件轻松连入外交部和银行
发信站: BBS 未名空间站 (Thu Mar 29 04:44:41 2018, 美东)
多家国家机关金融机构WiFi密码被窃 9亿用户如“裸奔”
重大预警!多家国家机关、金融机构WiFi密码被窃,9亿用户如同“裸奔”
WiFi全称叫做无线保真,和蓝牙一样,属于在办公室和家庭中使用的短距离无线通
讯技术。一般来说,消费者都是自己花钱购买WiFi设备,缴纳电信的流量费用,设置属
于自己的登录密码,但实际上,你的WiFi密码,你花钱购买的流量,可能早就被人悄悄
地偷走了。
从个人到商场,从外交大楼到金融重地,“万能钥匙”统统可以轻松窃取密码
根据观众的举报,《经济半小时》记者打开手机软件商店,无论是安卓手机系统还
是苹果手机系统,软件商店里都有一款叫做WiFi万能钥匙和WiFi钥匙的免费软件。它的
下载排名非常靠前,销售业绩非常火爆,它的图标如同一个电波发射信号,寓意着无论
你身在何处,WiFi都可以一键链接。
这两款App,深受网友的喜爱,从它的评分及评论上可以看到,满分5分的评分标准
,WiFi万能钥匙得了4.5分,近10万评论。而WiFi钥匙则得了4.8分,评论超10万。
观众举报称,这两款软件会将所有的WiFi信息放进它编织的后台程序里,只要消费
者下载并使用,这个消费者的手机就自动成为了这个软件的一个流动间谍。这两款软件
借用消费者的手机,会窥探这部手机周边和经过地点所有的WiFi信息,悄悄偷取各类
WiFi的密码信息,在消费者丝毫不知情的情况下,将这些信息传软件的后台,一切都神
不知鬼不觉地完成。
2018年3月初,记者首先在北京开始了测试。位于朝阳门外大街的吉庆里小区西南
角的11号楼楼下,记者打开了已经下载到手机里的WiFi万能钥匙软件,并关闭了记者手
机的4G信号。
瞬间,吉庆里小区11号楼以及周边所有的WiFi信号全部显示出来。短短的几秒钟时
间,记者就连接上了一个tenda的加密网络。而这个WiFi究竟是谁的?承担什么功能?
记者在一无所知的情况下,软件就帮助记者的手机顺利进行了登陆。随即,这个WiFi网
络背后的一切,都展示在了记者的面前。
随行的技术人员告诉央视财经《经济半小时》栏目记者,这个路由器没有更名,可
以看到它是腾达的路由器,一些人员可以通过腾达进入它的后台登录地址。
如果用户的后台原始密码没有修改的话,输入admin是可以直接进入路由器的后台
,看到一些连接人的信息,包括一些黑客可以对银行卡密码这些信息进行盗取,但是这
家已经修改了原始密码。
那么这户人家的WiFi密码是多少呢?记者打开WiFi钥匙软件,通过360root工具,
获取到root权限后,在WiFi钥匙里就能查看到这家无线WiFi的密码。在手机屏幕上直接
显示出,该密码是一个尾号为9835的手机号码。
这样的测试对于一个普通消费者来说,无疑是震惊的。通过WiFi钥匙这款软件,记
者不仅仅窃取了这户人家的WiFi密码,而且,还能通过这个软件看到这个WiFi网络后面
所有的隐私。比如:个人的微信。从刚才得到的手机号码我们搜索出一个微信号,就可
以进行添加。一个密码查到了一个微信,但是偷取的东西还远不止这些。
用同样的方法,记者又通过WiFi万能钥匙查找到另一个名为ziroom505的密码为400
开头的一串数字。
更让记者震惊的是,不光个人的WiFi能够随意的窃取,商业机构的WiFi密码也能被
这款WiFi万能钥匙软件窃取。
在北京朝阳区朝阳门外大街18号的丰联广场,记者刚刚走到大门口,WiFi万能钥匙
很快就自动连接上了丰联广场的加密无线WiFi。
在朝阳门内大街2号凯恒中心的一家星巴克咖啡店,记者通过WiFi万能钥匙搜到了
15个WiFi热点,很快就自动连接上一个加密的ZKWX的WiFi。
在朝阳门外大街丰联广场二楼,一家名为宁味夏语的餐厅,记者通过WiFi万能钥匙
看到能连上六七个加密的WiFi网络,软件以最快的速度连上了标示为ningweixiayu-
guest的网络。
在餐饮和休闲场所,WiFi万能钥匙和WiFi钥匙都展示出非常强大的蹭网功能,窃取
他人的WiFi密码,如同囊中探物一般的轻松。
观众举报还提到,除了能轻松攻破小区住户和普通商户的WiFi用户名和密码,WiFi
万能钥匙软件对于国家重要机关、金融机构的WiFi网络密码,也同样能实现轻松窃取。
一款普通的软件,是否能胆大妄为到这样的地步吗?记者继续展开测试。
在北京市朝阳区的中华人民共和国外交部办公大楼门口,记者打开了手机上的WiFi
万能钥匙软件,开始测试能上网的信号强弱。手机显示了有四个可以连接的加密网络信
号,记者随意通过软件连上了信号最强的BJST-1 标示的网络并能轻松上网浏览网页。
无任何的阻拦、无任何的密码检查,记者就这样在WiFi万能钥匙软件的帮助下,进入了
外交部大楼里的网络系统。
在北京市东城区朝阳门内大街2号的中国银行北京市分行。中国银行的英文名称是
bank of china,每个开头字母的缩写是BOC。在中国银行北京市分行的自助柜台机(ATM
)旁边,记者打开手机,5秒钟的时间,不仅成功地连接上BOC_CA的无线网络,而且还能
看到它的IP地址,子网掩码,路由器等相关信息数据。那么这个刚刚连接上的BOC_CA的
无线网络,与中国银行北京市分行有什么关系呢?
中国银行北京市分行 工作人员:有无线网络,得用微信认证,BOC_CA不是我们一
楼的,是别的楼层的。
工作人员告诉记者, BOC-CA 是这个大楼内银行其它部门的网络。但是,即便是被
加密,依然被WiFi万能钥匙和WiFi钥匙两个软件轻松窃取,并予以了连接。
在位于朝阳门北大街17号中国人民财产保险有限公司北京分公司,记者测试发现,
WiFi万能钥匙至少可以窃取到6个可以分享连接的无线网络。记者仅仅就站在公司的大
门口,便很轻松地用软件连接上有中国人民保险英文缩写字样的BJPICC的网络, 软件
的后台立刻显示出它的IP地址,子网掩码,路由器等相关信息数据。
记者在北京展开了一系列的测试,无论是普通居民小区、商业机构,还是政府机关
、金融机构,WiFi万能钥匙和WiFi钥匙两个软件都能顺利的窃取到这些个人和单位的
WiFi密码,并顺利连接。而且通过后台,可以清楚的查阅WiFi的后台数据信息。简单的
说,在这两个软件面前,很多公共机构如同裸奔一般,毫无任何秘密可言。
在上海市人民政府大门门口,记者打开WiFi万能钥匙,上面显示附近发现8个WiFi
热点。记者尝试了信号强度最好,标示为TAOJR的加密网络,很快就能连接上网,并看
到它的密码是一个尾数为5751的手机号码。
上海是中国的经济、金融、贸易中心,陆家嘴位于上海市浦东新区的黄浦江畔,是
众多跨国银行的大中华区及东亚总部所在地,中国最具影响力的金融中心之一。这里汇
集了汇丰银行、花旗银行、东亚银行等多家外资银行。那么在陆家嘴这样的金融中心,
这里的WiFi密码,WiFi万能钥匙和WiFi钥匙两个软件是否也能窃取到呢?
在上海浦东新区陆家嘴东路161号,招商局大厦的上海元亨祥股权投资基金集团有
限公司,这家公司的网站上这样描述,它已经为全国各地的智慧城市、PPP投资运营提
供投资资金逾百亿元。
那么WiFi万能钥匙软件是否能打开它的加密网络呢?记者通过搜索查到了有元亨祥
大写字母标示的YHX-F1-1的网络,点击后,非常顺利地就连接上了,而且还得到了一
组以A18539开头的一串密码。这串由两组21个数字和字母编写而成的复杂密码,仅用几
秒钟就被WiFi钥匙的软件窃取到手。
位于陆家嘴花园石桥路66号金融大厦里的东亚银行,是香港最大的独立本地银行,
股票总市值达到900多亿港元。
记者在东亚银行门口查到了一个BEA-guest的加密WiFi,它的密码是8位数字。离
东亚银行不远处是上海市浦东新区银城中路8号,海银金融控股集团有限公司。
海银金融控股集团有限公司经营范围涵盖财富管理、基金、保险、银行、期货等领
域,管理资产达800亿元,业务范围覆盖美国、德国、新加坡等多个国家和地区。
在海银集团的总部门口,记者成功地连接了它加密的VIP网络,并成功地破解了它
后缀为2016的网络密码。
而位于上海延安西路2299号的上海世贸商城,总面积28万平方米,是一个集展示、
交易、办公、资讯于一体的超级交易市场,这里云集了国内外上千家供应商和跨国采购
机构。记者进入这栋大楼,
在二楼的中国检验检疫大厅门口,通过WiFi钥匙看到了它标示为PJCIQCN的加密
WiFi密码,并在这座大厦的三楼连接上了荷兰品牌C&A的网络;
在大厦的4楼A28位置,连上了上海全鹏实业有限公司的加密网络;
在5楼连上了名为urban walkers 生活馆的加密网络;
在6楼A27 连上了广东高达织造有限公司的加密网络;
在7楼B05 连接上了上海祥益纺织品有限公司的加密网络。
记者通过实地测试发现,无论商家是否有自己加密的无线网络,只要距离足够近,
WiFi万能钥匙和WiFi钥匙的App软件,都能成功连上这些网络并马上破译这些机构设置
的网络密码。
一款号称全球用户总量突破9亿的App软件 竟然是盗取用户个人信息的黑手
使用这两款软件,对消费者而言是拥有了强大的蹭网功能,但我们也不知道,WiFi
万能钥匙和WiFi钥匙软件通过攻破网络,还会去掌握哪些个人或者机构的隐私及信息?
如此明目张胆地偷取个人,商业机构,国家重要机关单位的网络密码, WiFi万能
钥匙和WiFi钥匙究竟是怎样的一个App软件?免费给消费者提供蹭网的最终目的又是什
么呢?这样的软件是通过什么模式来盈利的?如此大胆的这两家互联网公司到底是什么
公司呢?
根据手机软件上的介绍,记者很快找到了这家生产销售WiFi万能钥匙软件的互联网
公司---上海连尚网络科技有限公司,上海浦东新区张江张衡路666号一号楼盛大全球研
发中心,WiFi万能钥匙的总部就在这里。
WiFi万能钥匙物业管理人员:WiFi万能钥匙是在这,有预约好的吗?没有预约他们
不接见的。约好了找谁,我们再通过通讯录打电话确认,他们愿意接见才上去。
一连几天,WiFi万能钥匙公司始终无法登门拜访,应聘进不去,谈业务也进不去。
无奈之下,记者四处寻找如何突破,终于一名WiFi万能钥匙代理商通过qq主动与记者取
得了联系。
为了招揽生意,代理商与记者进行了简单地沟通,随后就给我们发了一个网页,打
开网页清楚地看到,这是整个WiFi万能钥匙软件的广告推介页面以及和它合作的21家企
业的标识。这位代理商告诉记者,他们的总部在上海,广告事业部在北京,他是核心代
理商,也是湖南地区的独家代理。
随后记者详细询问,如果一款可以提现金的棋牌类手机游戏,推广的话是什么价格
。这位代理商告诉记者,按照点击量来付费,一个广告的点击价格在0.6元到一元。他
声称,WiFi万能钥匙客户流量很大,放开跑,一天能有几十万的点击量。但马上他又很
警惕地告诉记者,315期间WiFi万能钥匙不接受棋牌类广告,因为风险管控,棋牌类容
易出现赌博。
WiFi万能钥匙的这名代理商明确表示,即使可以提现,并且带有赌博性质的棋牌游
戏,只要过了315,也可以在WiFi万能钥匙上进行推广。
为了进一步表明他是WiFi万能钥匙的广告代理的身份,他还向记者发了一份自己做
代理商的总账户明细。上面的广告费余额是587724.59元,有170个广告主。当记者追问
,如果手机游戏没有ICP的备案和许可证怎么办时,对方依然回答说可以上,没有这些
认证也可以上推广。
随后这位代理商给记者发了一份WiFi万能钥匙的广告推介ppt,上面明确标注:截
至2016年6月26日,WiFi万能钥匙全球用户总量突破9亿,用户月活跃数突破5.2亿。不
同样式的广告位价格,究竟是按照信息流还是按照竞价排名,在这个ppt里都被标注得
一清二楚。
随后,这名代理商告诉记者,打开WiFi万能钥匙应用,在右下角有一行非常小的蓝
色字体《WiFi万能钥匙用户协议》,点击立即体验时,就等同你默认了这个用户协议。
而WiFi万能钥匙在这个用户协议当中,有一项隐私政策的声明,里面描述了“它会如何
收集和使用消费者的个人信息及其他信息”这些信息包括最基本的用户使用手机的设备
信息; 使用服务器的IP地址;GPS定位等等。而最为关键的一点是WiFi万能钥匙需要共
享、转让、公开披露用户的个人信息,只有这样才能实现这个产品所谓的“核心服务功
能”。
在用户使用时很少有人会关注到这一点,除非你进入设置中,申请取消WiFi万能钥
匙的热点分享。但如果消费者要这样保护的自己权益的话,必须要填写热点ssid的名称
;热点的密码;路由器mac的地址。并要拍摄路由器的背面外观,最终这一切繁碎的内
容都填写完后,还要提交申请等待WiFi万能钥匙的审核。它同意了,你才能取消分享。
直到这时,记者才明白,这个看似点对点的服务,实际上是通过WiFi万能钥匙变成
点对N,由此掌握更多的IP地址,GPS定位,通过信息分享吸引客流量,发布各类广告达
到赚钱的目的。
但在调查中记者发现,WiFi万能钥匙的网页,也充斥着不少色情图片和内容,在一
些淫秽的图片和视频下方都会有这样一个“点此投放广告”的标示。点击进入就会显示
出一个WiFi万能钥匙的广告服务平台的微信公众号。
为了弄清真相,记者加入了这个微信,输入广告投放后,出现了需要添加的尾号为
1636的字样号码。由于记者调查的时间处在“315”前后,因此,记者多次添加尾号为
1636的qq号码,都没被接受为好友。
WiFi万能钥匙软件窃取网络用户名和密码,严重损害了网络用户的合法权益,而另
一款App软件WiFi钥匙也是如出一辙。
从WiFi钥匙的App显示,记者查到它的公司名称为厦门众联世纪科技有限公司。记
者注意到,在WiFi钥匙的App里,同样留下了一个以400开头的客服电话,随后记者拨打
了WiFi钥匙客服。
WiFi钥匙客服:很高兴为您服务,请问有什么可以帮您?
《经济半小时》记者:你们这边是WiFi钥匙的客服电话吗?
WiFi钥匙客服:我们这边不是WiFi钥匙的客服电话,您是不是拨打错电话了?我们
暂时没有此类服务,您这边的话也咨询一下其它地方看您是不是打错电话了,我们这边
是第三方充值商家的。
WiFi钥匙明明在App里对外公布了客服电话,为什么是一个和它毫无瓜葛的第三方
充值商家机构呢,那么这个WiFi钥匙究竟是一家怎样的公司?记者根据WiFi钥匙App对
外公布的地址,找到了福建省厦门市软件园二期望海路14号楼之一101单元,刚进入望
海路14号楼的大厅,我们就看到一个广告牌上面印着WiFi钥匙由此进入的字样,当记者
走进这家公司才发现,在它的前台打着众联世纪的牌子。
当得知记者为刊登广告而来的时候,这位姓刘的高级商务经理接待了记者,她详细
地告诉记者WiFi钥匙的广告是如何来运作的。
众联世纪高级商务经理 刘经理:按分成来走的,就是我们给它导流,如果用户有
一个付费充值的话,那么这边有一个流水分到我们这边,就这样来做。
这位刘经理为了展示WiFi钥匙广告平台的吸引力,告诉记者它们的客户量和装机量
在苹果手机App里榜上有名。
刘经理:装机量从2013年开始做到现在有2亿多,但是日活差不多在三四百万左右
,在苹果榜单上也是比较厉害,进前一百了。
这位刘姓的商务经理为了显示WiFi钥匙的实力,向记者详细介绍了WiFi钥匙的广告
推广、商业信息和由此带来的收益。
刘经理:比如说它做了5000块钱流水,那它就会分三到四成五成这样子给我们,我
们一年广告的收入,公司的数据不太方便,流水跑的话,可能在三四千万元左右。
打开WiFi钥匙的网页,首先就是一个不堪入目的保健类内裤的广告,以及一些不堪
入目的黄色内容和色情交友软件推广。它的广告推介平台正是来自于上面的“众联广告
”。
这些窃取用户WiFi密码,利用广告盈利的网络软件,消费者究竟该怎样来看清楚他
们的面目,维护自己的权益呢?
邱宝昌,北京市法学会电子商务法治研究会会长,他提醒消费者,大家要有基本的
网络安全知识,千万别去贪小便宜,自己的“WiFi”一旦被分享出去后,隐藏着诸多的
安全隐患。
北京市法学会电子商务法治研究会会长 邱宝昌:要经过消费者同意,不同意你不
能默认假定消费者同意了,所以这样法律上有明确规定,涉及到信息应该怎样去保存呢
,你要保存你所收集的信息,不泄露你不得用于一种商业交易,并且你还要注意到你收
集的信息,有可能泄露的时候你要加强技术手段,对于国家涉及到国家主权国家信息安
全的,不是你能收集的,那你是刺探情报,那就是泄露国家秘密。泄露国家机密的贩卖
个人信息的,窃取他人商业秘密的,要依法依规地打击 |
H********g 发帖数: 43926 | 2 什么原理?
【在 H********g 的大作中提到】 : 【 以下文字转载自 Military 讨论区 】 : 发信人: Lwangls (老王老师), 信区: Military : 标 题: 央视调查:WiFi万能钥匙软件轻松连入外交部和银行 : 发信站: BBS 未名空间站 (Thu Mar 29 04:44:41 2018, 美东) : 多家国家机关金融机构WiFi密码被窃 9亿用户如“裸奔” : 重大预警!多家国家机关、金融机构WiFi密码被窃,9亿用户如同“裸奔” : WiFi全称叫做无线保真,和蓝牙一样,属于在办公室和家庭中使用的短距离无线通 : 讯技术。一般来说,消费者都是自己花钱购买WiFi设备,缴纳电信的流量费用,设置属 : 于自己的登录密码,但实际上,你的WiFi密码,你花钱购买的流量,可能早就被人悄悄 : 地偷走了。
|
H********g 发帖数: 43926 | 3 Bear
AMang (阿忙)
7 170.* 3/29/18, 1:37:59 PM (8'59")
我觉得是不是有一个这个app的用户上过这个WIFI,然后这个app就记住了这个WIFI的信
息和密码,然后上传到服务器和所有的用户共享。
可以简单做实验,开个全新的router,改个特别的密码,用这个App上一下 |
b*****e 发帖数: 53215 | 4 我觉得基本就是这样
【在 H********g 的大作中提到】 : Bear : AMang (阿忙) : 7 170.* 3/29/18, 1:37:59 PM (8'59") : 我觉得是不是有一个这个app的用户上过这个WIFI,然后这个app就记住了这个WIFI的信 : 息和密码,然后上传到服务器和所有的用户共享。 : 可以简单做实验,开个全新的router,改个特别的密码,用这个App上一下
|
k**l 发帖数: 2966 | 5 上个月我一大学同学从国内第一次来加州,结果连我家 wifi 都不用密码。。。
:【 以下文字转载自 Military 讨论区 】
:发信人: Lwangls (老王老师), 信区: Military |
f*******y 发帖数: 2368 | 6 三种可能:
1. 你也装了这个软件
2. 你家wifi不需密码
3. 你同学以前来过你家
【在 k**l 的大作中提到】 : 上个月我一大学同学从国内第一次来加州,结果连我家 wifi 都不用密码。。。 : : :【 以下文字转载自 Military 讨论区 】 : :发信人: Lwangls (老王老师), 信区: Military
|
e*i 发帖数: 10288 | 7 以前连过你家 wifi 的人回国过,并安装过那个 app。
那个 APP 似乎会把设备里现存的将来存的所有 的 SSID / 密码 之类传上去,
根据国内 APP 的尿性,肯定还会要求一堆其他权限的,还有一堆东西被传上
去的。 :P
【在 k**l 的大作中提到】 : 上个月我一大学同学从国内第一次来加州,结果连我家 wifi 都不用密码。。。 : : :【 以下文字转载自 Military 讨论区 】 : :发信人: Lwangls (老王老师), 信区: Military
|
k**l 发帖数: 2966 | 8 恩,忘了说明他在国内,来美出差
:以前连过你家 wifi 的人回国过,并安装过那个 app。
: |
h*********2 发帖数: 1 | 9 就是后台造了一个共享的巨大哈希表
这东西我感觉非常危险,防不胜防
【在 H********g 的大作中提到】 : 什么原理?
|
n****g 发帖数: 14743 | 10 兲朝的 IT 行业就是这样的
我回去兲朝一趟,回美国都把密码改一遍
【在 H********g 的大作中提到】 : 【 以下文字转载自 Military 讨论区 】 : 发信人: Lwangls (老王老师), 信区: Military : 标 题: 央视调查:WiFi万能钥匙软件轻松连入外交部和银行 : 发信站: BBS 未名空间站 (Thu Mar 29 04:44:41 2018, 美东) : 多家国家机关金融机构WiFi密码被窃 9亿用户如“裸奔” : 重大预警!多家国家机关、金融机构WiFi密码被窃,9亿用户如同“裸奔” : WiFi全称叫做无线保真,和蓝牙一样,属于在办公室和家庭中使用的短距离无线通 : 讯技术。一般来说,消费者都是自己花钱购买WiFi设备,缴纳电信的流量费用,设置属 : 于自己的登录密码,但实际上,你的WiFi密码,你花钱购买的流量,可能早就被人悄悄 : 地偷走了。
|