本文首发自新京报公众号“寻找中国创客”(ID:xjbmaker)
安全问题始终是WiFi万能钥匙逃不开的原罪,WiFi密码的共享在本质上已经对用户的信息安全造成了风险。
全文2709字,阅读约需5分钟。
WiFi万能钥匙是互联网圈中拥有顶级流量的APP之一。你很少在新闻上看到它的消息,但它却是国内最大的工具类软件,常年霸占APP下载排行榜的前三。它在全球拥有近9亿+的注册用户,覆盖223个国家及地区。
但围绕它的争议却始终不断。近日,央视《经济半小时》栏目发布报道,质疑其存在窃取他人WiFi密码情况,无论是个人的WiFi热点,还是商场、外交大楼及金融机构,均可轻松攻破。
这并不是第一篇质疑WiFi万能钥匙窃取用户信息的报道。这家公司从诞生之初就饱受争议,问题的焦点在于它是否存在窃取用户WiFi密码的行为,在网上能找到大量与此有关的质疑。
WiFi万能钥匙在随后的回应中称,WiFi万能钥匙的运行原理是热点共享,不是破解,是通过WiFi热点资源共享的方式,让用户便捷连接,安全上网。
这不足以打消人们的疑虑。多家媒体在随后跟进的报道中,当用户将自己WiFi分享出去时,会存在诸多的安全隐患,不法分子或利用WiFi进行网络攻击。
━━━━━
“万能”的技术原理
在WiFi万能钥匙的官网上,描述其愿景是“消除数字鸿沟,让全世界人民免费上网”。早期,WiFi万能钥匙创始人陈大年在接受媒体采访时表示,他的初衷是为了让任何一个人都能不分贵贱地随时连接网络,消除数字鸿沟。而当前最好的方式就是共享经济的方式。
这也是WiFi万能钥匙为什么能取得如此庞大的用户量的原因所在。“随时随地免费连接WiFi”的杀伤力对于刚触网的人们而言无异于“免费的午餐”,尤其智能手机刚刚普及的阶段,用户对流量需求陡增。
2014年,WiFi万能钥匙上线仅两年时间,月活跃用户就突破2.3亿,是仅次于QQ和微信的第三大移动APP。当年WiFi万能钥匙团队的年终奖是每人一辆特斯拉,甚至还被传出上市的消息。
“当时家里没有网,手机流量又不够用,就只能用它去蹭别人家的网了。”吴里在很长一段时间里都是WiFi万能钥匙的忠实用户,每当外出想要连接WiFi时都会习惯性地打开WiFi万能钥匙。
“我也知道它会搜集我连接的WiFi密码,但是那不是没办法嘛。”她说。
央视的报道中质疑,WiFi万能钥匙会窃取用户的WiFi密码。WiFi万能钥匙方面在声明中着重描述了这一点,表示并不存在破解用户WiFi密码的情况,所有的热点都是基于用户自主分享。只有用户同意分享其WiFi热点,平台才会将WiFi密码上传至云端,之后所有手机中安装了WiFi万能钥匙软件的用户都可以无缝连接WiFi。
一位互联网安全专家在接受寻找中国创客(ID:xjbmaker)采访时解释了WiFi万能钥匙的技术原理:首先,A用户将自己所在位置、且已经连接成功的WiFi热点上传分享到WiFi万能钥匙的云端,分享的信息包含热点名称、用户名、密码等。
接着,当B用户该区域查询WiFi热点时,将周围扫描到的A用户分享的热点信息,B用户连WiFi热点时,云端会匹配到相对应的密码后返回给该用户使用;然后,B用户就成功连接该WiFi热点。
“相对来说,也确实是用户分享实现的。”该人士说,“只是,用户对分享热点后带来风险和危害没有概念,毕竟上网且免费上网对广大用户来说吸引更大。”
但至少在早期,WiFi万能钥匙获取用户密码的手段似乎并不是如此。知乎上一位网友“狂男风”表示,早期版本的WiFi万能钥匙会向安卓用户申请root权限,进而访问系统中储存的WiFi历史,获取WiFi密码。
一位同样是工具类软件的创始人向记者表示,“WiFi万能钥匙最早是非常主动地收集用户输入的密码,后来收敛了很多,但还是在引导用户分享密码。”
━━━━━
无法回避的安全问题
当用户的wifi密码被分享出去之后,会不会由此引发安全方面的风险?
WiFi万能钥匙在回应中称,WiFi万能钥匙只是为用户提供了更为便捷的上网方式,本身不会增加用户上网的安全风险。
但上述互联网安全专家对记者表示,当wifi密码泄漏后,可能会导致用户电脑、手机等联网设备遭到攻击,泄漏个人信息。
具体而言,家庭的wifi网络密码泄漏后,黑客可直接登录家里的WiFi网络,进而对WiFi路由器以及网内其他联网手机、平板、电脑发动攻击或支部病毒,然后就可以监控到网内设备的上网信息,包含支付、聊天、照片等。
对于企业来说——等于是将内网WiFi直接公开给陌生人。黑客可以直接进入企业内网。黑客可以直接进入内网,通过技术手段入侵员工的电脑、公司的服务器,进而导致商业机密泄露,电脑或服务器遭到攻击等。
该专家举例称,去年袭击全球的WannaCry勒索病毒,就是学校或公司内的一台电脑被感染后,网内其他电脑迅速被传染。
更需明确一点的是,用户是否有权利将其他网络分享至WiFi万能钥匙的平台上?WiFi万能钥匙的技术原理是将你连过的网络都公开分享至平台上,以此形成规模效应,实现“万能”。但问题的关键点在于,你所连接的其他网络的拥有者是否同意这种做法?
WiFi万能钥匙在回应中指出,其一直重视对密码的保护,对密码采用128位非对称加密,从不明文显示。报道中提及的密码查看功能,是由另外一家公司的产品“WiFi钥匙”提供。
在央视的报道中,利用这款名为“WiFi”万能钥匙的软件,可以直接查看用户的WiFi密码、IP地址等,几乎等同于裸奔。
不过,即便WiFi万能钥匙隐藏了用户的WiFi密码,其网络安全的风险仍然存在。就连WiFi万能钥匙创始人陈大年在此前接受媒体时也表示,“其实安全问题几乎是所有大部分共享经济都会遇到的质疑,我们通过技术手段去降低风险。”
顶象技术安全专家田纪云向记者表示,个人消费者在保障网络安全方面,除了将密码复杂化外,还需定期更换密码,并设置安全邮箱。此外,应尽量不使用公共WiFi以及共享WiFi、蹭网类的工具。
━━━━━
逃不开的原罪
工具类软件常常可以在短时间内获取大量用户,但始终在用户留存上难以取得突破,用户大多“用完即走”,不会过多停留。老牌的工具类软件诸如美图秀秀,做了那么年的社区运营,最后还是没做起来,盈利的大头竟然是来自硬件产品——美图秀秀手机。
WiFi万能钥匙的变现手段现在看来仍然是工具类软件的老路子——在APP中加入资讯类内容,延长用户停留时间,通过广告进行变现。央视在报道中也提到了WiFi万能钥匙的广告代理内容。
去年底,WiFi 万能钥匙全球轮值总裁兼首席财务官李政在一次活动上表示,WiFi万能钥匙的杀手锏是“为用户提供更多服务”,简单点来说就是在app中植入大量的附加功能,诸如新闻资讯、短视频、APP、用户生活周边等。据其介绍,观看内容的用户已经过亿,且APP打开时长也有所提升,已经达到了20多分钟。
▲说实在,WiFi万能钥匙提供的内容质量真的是不敢恭维,虽然我还是点开了一条:)
依托平台庞大的用户数,即便是单纯依靠广告变现,WiFi万能钥匙的收入也足以支撑起继续走下去。据李政透露,目前WiFi万能钥匙已经实现了营收平衡,主要收入来源为广告收入。
而除了广告变现,WiFi万能钥匙也开始尝试基于LBS(位置服务)的精准推送,试图成为一个连接人与场景的连接器。基于用户在特定场景下的行为积累,当用户到达这一场景时,可以精准地向其推送一些与其行为相关的信息和服务,可以嫁接商户的优惠信息等O2O方面的业务。
近几年,WiFi万能钥匙开始密集投资WiFi产业。去年,WiFi万能钥匙投资了航空WiFi服务提供商世纪空联,为飞机上的WiFi业务提供支持。此外,它还投资了一众WiFi设备研发公司和服务商。
陈大年对WiFi万能钥匙的前景十分看好,“从长远来看,我们的增速不会慢下来,用户都是靠口碑相传,基数越大相传的力量越大。”
但安全问题始终是WiFi万能钥匙逃不开的原罪,WiFi密码的共享在本质上已经对用户的信息安全造成了风险。
“中国人更加开放或者说对隐私问题没那么敏感,如果愿意用隐私来交换便捷性或者效率的话,很多情况下中国人是愿意这么做的。”和李彦宏一样持有这个观点的人,一定不知道,到底有多少人清楚他们隐私失窃后的后果。在他们眼里,有的或许只是图一时之便的流量韭菜。
记者 | 薛星星 编辑 | 赵力
值班编辑:吾彦祖