警惕WiFi万能钥匙“热点共享”威胁信息安全

　　资料图

　　范江波

　　3月29日，央视财经报道，借助Wi-Fi万能钥匙和Wi-Fi钥匙这样的热点共享App，“从个人到商场，从外交大楼到金融重地，统统可以轻松窃取密码”。报道播出后，引发了公众对于热点共享安全风险的关注。

　　随后，WiFi万能钥匙方面对此紧急回应称，该软件的运行原理是WiFi热点资源共享，让用户便捷连接，安全上网，不是破解，试图澄清其不存在相应安全风险的问题。

　　所谓热点共享(WiFi访问认证)，简单来讲是将无线WiFi热点按特定的时段、区域、是否需要访问授权等方式分享出来，供他人使用访问互联网资源；如明确告知WiFi共享的密码，或采取免密开放式设置，则可在特定区域被任意访问。如某些场所提供免认证的热点，就属于开放式热点共享，当然为了提高安全性，当前大部分公共WiFi会在登陆页面进行二次认证，即使非法用户连接至公用WiFi，也无法直接获取网络中的数据。一般来说，这是一种和平、合法的方式。

　　而所谓“破解”，严格来讲是一种非法行为，是采用各种技术手段绕过或通过非法方式获取访问授权来访问资源，一般表现形式为暴力、非法方式，性质严重的还有可能涉及犯罪。

　　一般而言，不同用户要使用共享的热点，均要输入访问密码；共享热点的区域越多，需要输入密码也越多，不是很方便，因此热点分享软件应运而生。安装热点共享类软件后，用户在一个区域使用某一热点后，其他装有此软件的用户进入该区域后，也会自动连接上此热点，因此很受用户欢迎。

　　WiFi万能钥匙、WiFi钥匙软件即是此类软件。WiFi万能钥匙是通过用户上传分享的热点到后台服务器的方式收集、积累数据。后台服务器维护着一份热点数据库，其中包含着热点名称以及与其对应的密码字符串。查询密码时，用户将周围扫描到的陌生热点信息上传，服务器后台查询到相对应的密码(如果分享过的话)后返回给App，供用户选择使用。

　　使用自动分享功能极易导致用户被蹭网，局域网隐私泄露，或者被黑客轻易入侵等问题。在万能WiFi钥匙的设计逻辑中，一旦用户把家庭的WiFi密码告诉来访的朋友，而朋友安装了WiFi万能钥匙，密码则会被分享出去，而WiFi的拥有者对此毫不知情。家庭WiFi的防护可以说是最弱的，只要黑客连接至家庭WiFi，就可以任意截取网络流量，访问局域网共享文件，家庭云存储等数据，给个人安全带来极大的隐患。如果热点共享涉及是国家机关WiFi信息，则极有可能危及国家安全，应引起高度重视。

　　依据民法总则第一百一十一条，自然人的个人信息受法律保护，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　网络安全法也明确规定：“网络运营商收集、使用个人信息，应当遵循合法、合法和必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”

　　万能WiFi钥匙在回应中称其一直强调有WiFi热点主人分享热点，并加大查处非热点主人进行分享的力度。打开WiFi万能钥匙等软件，有的的确可以看到所谓的“用户协议”，看起来用户似乎愿意提供WiFi密码，但事实并非如此简单：因为用户点击立即体验时，用户协议被默认同意，很多用户可能根本就没有打开查看——这也是现在很多App惯用的获取用户授权所采取的手法，现实情况则是用户的知情权、选择权被剥夺。

　　退一步说，即便是用户愿意提供WiFi密码，也并不意味着他们愿意将WiFi密码、其他个人信息一并提供给类似WiFi万能钥匙这样的企业，而在这些热点共享App所获取的用户权限中，读取通讯录、照片、短信等敏感信息都在收集获取之列。

　　另据央视报道，一些WiFi共享App在存储用户密码时，使用了明文的方式，或者只是进行简单的加密，这种情况下，一旦后台系统被黑客攻击拿到数据，尤其是用户个人信息如手机号码等，极易引发精准诈骗、“杀熟”等安全问题，务必引起高度重视。[page]分页标题[/page]

　　依据网络安全法的规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，且我国实行网络安全等级保护制度。因此，笔者认为，所有互联网企业应严格遵守网络安全法的规定，按照网络安全等级保护制度的要求，履行相关安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

　　尽管目前国家鼓励分享经济的发展，但是企业决不能打着分享经济的旗号，随意收集个人信息、甚至是危机国家安全的信息，并将收集来的相关信息置于巨大的风险中，这不仅违背了国家发展分享经济的初衷，也会给企业自身带来很大的法律风险。

　　（作者供职于西南财经大学网络安全与信息化办公室）

　　责任编辑：郑少东