长假的第一天，有朋友到季哥家做客。

我一坐下就问，你的WiFi密码是多少？ ——这种情况很常见。

不同寻常的是，每次，机器佬都会检查客人的手机是否安装了“WiFi key”等软件。

如果是这样，抱歉，请将其删除，我会告诉您 WiFi 密码。

为什么？ 今天偶然看到南都大数据研究院旗下的《隐私卫士》文章。 读完你就知道为什么了。

—————————————————

资料来源：隐私卫士

微信号：shenduxinwen

近日，两款免费Wi-Fi连接应用“WiFi万能钥匙”和“WiFi钥匙”被央视举报涉嫌窃取用户Wi-Fi密码。 随后，两家公司均表示，该软件是基于热点共享的基础上运行的，并没有窃取用户的WIFI密码。

双方各执一词，但事实真相又如何呢？ 在工信部宣布查处相关APP的同时，隐私卫士也进行了实验。

Wi-Fi 密码可能会在您不知情的情况下被共享

首先，隐私卫士在一部安卓手机（简称手机1）上安装了一款名为“WIFI万能钥匙”的APP。 点击打开后，未登录就显示了附近的几个WIFI。

附近Wi-Fi信息

隐私卫士点击他常用的“ND-JY”，输入密码并连接。

隐私卫士不知道他们刚刚输入的密码存储在哪里或将用于什么目的。 随后隐私卫士又使用另一台已经恢复出厂设置的安卓手机（简称手机2）同样下载了“WIFI主密码密钥”并点击打开。

可以看到，手机1刚刚连接的WIFI已经自动显示在顶部，并标注了“免密码”提示。

隐私卫士点击连接后，WIFI会自动连接，无需输入密码。 这意味着该WIFI的密码已经通过手机1的存储上传，之后所有下载“WIFI万能钥匙”的用户都可以无需密码自动登录。

令人担忧的是，隐私卫士自始至终既没有登录，也没有同意分享他的WIFI密码，但密码却在我不知情的情况下分享给了所有人。

随后隐私卫士点击手机1APP中的WIFI密码共享页面，发现默认勾选了共享选项，这意味着您已经被动同意共享您填写的所有密码。

北京易安在线网络安全专家王刚告诉隐私卫士，如果用户安装“WIFI共享软件”，所使用的Wi-Fi信息就会上传到服务器，陌生人可以使用同一个Wi-Fi连接。 -Fi 软件。 网络，此时陌生人已经和你在同一个局域网内了。 同一个局域网是很危险的，相当于我在你家上网。 如果对方略懂技术，你的IP地址、手机型号、电脑等信息就有可能被泄露，还可能被中间人攻击获取对方的用户名和密码。您访问的页面，甚至可以控制家中的电视。 等待联网设备等”

“对于企业用户来说，也存在安全风险。” 王刚举了一个例子。 当陌生人连接到企业网络时，就意味着它已经渗透（攻击）到了局域网中。 如果存在计算机文件共享或者利用系统漏洞入侵网络，那么陌生人很容易窃取文件并泄露公司内部信息。

隐私卫士注意到，央视报道中点名的两款App很快回应称，这些App本身并不具备密码破解功能，而是通过用户主动分享Wi-Fi信息来实现其功能。 “WiFi万能钥匙”还表示，获取信息属于法律范围内的行为，需要用户的同意。

作为一名信息安全从业者，王刚长期关注Wi-Fi共享领域。 他表示，免费Wi-Fi连接APP的问题在于，用户上传Wi-Fi密码时，不一定会主动分享。 虽然每个APP都不一样，但他用过很多，发现70%-80%的软件都允许用户被动分享。

一些早期版本的 Wi-Fi 软件更为微妙。 用户甚至不知道Wi-Fi共享功能在哪里。 就像访问通讯录等手机权限一样，软件厂商直接获取并在后台运行。 用户取消分享就更困难了，而且基本上没有明确的说明如何取消。

一半有漏洞是个案吗？ 默认共享 10 个模型中的 5 个

事实上，隐私卫士不仅测试了这个APP。 4月3日，我们下载了Android平台上以“WiFi”为关键词的前10款免费Wi-Fi连接APP，其中前述名为“WiFi万能钥匙”和“WiFi钥匙”的提供商均包括腾讯、360等大型互联网公司，以及其他不知名的软件开发公司。

隐私卫士通过实际测试发现，测试的10款应用中有一半存在授权漏洞，没有给用户足够的知情选择。

10款App实际测试结果

这些APP的WIFI密码分享页面中，有5个APP默认勾选了Wi-Fi密码分享选项，其中3个甚至引导用户分享有奖励。 例如，“平安WiFi”声称“共享WiFi有奖励”； “WiFi万能钥匙”和“360免费WiFi”直接显示奖励内容。 前者可以赚取300积分，后者则直言“分享可以赚取300金币”。 。

360免费wifi共享页面

Wi-Fi万能钥匙共享页面。

比引导共享更令人担忧的是，首次使用时，Wi-Fi 密码共享默认开启。 例如前面介绍的“万能WiFi钥匙”APP中，用户在不知情的情况下将自己的WIFI密码上传到后台。 ，开放给大家使用。

进入另一个“万能WiFi连接密钥”APP的设置页面后，隐私卫士直接提示输入热点名称和密码，没有任何风险提示或勾选。 此外，APP还具有Wi-Fi参数查询功能，Wi-Fi名称、IP地址、MAC地址、网关一目了然。 被央视点名后，“WiFi钥匙”相关功能已被下架，但“万能WiFi连接钥匙”仍然可以查看密码。

通用WiFi连接密钥可查看密码

试想一下，如果用户的Wi-Fi密码恰好是自己的手机号码或者生日等个人信息，那么其个人隐私就会被泄露。

从隐私卫士的实际测量结果来看，用户对Wi-Fi密码共享行为的感知并不充分。 也就是说，很多免费Wi-Fi连接APP主动收集用户输入的密码，或者引导用户分享密码； 即使其中少数比较“收敛”，给了用户选择权，但也没有充分告知用户可能出现的问题。 风险。

更可怕的是，即使Wi-Fi拥有者安全意识极强，从未使用过任何网络拦截软件，也无法逃脱外界的干扰。 网络安全专家王刚曾经遇到过这样的事情：亲戚朋友来家里做客，由于手机上安装了Wi-Fi共享软件，一连接到家里的网络，密码就被共享了。

Wi-Fi共享软件的“擦边球”

《网络安全法》规定，网络产品或者服务具有收集用户信息功能的，其提供者必须向用户明确并取得用户同意。 5月1日起实施的《个人信息安全规范》要求，收集敏感个人信息时应当取得个人信息主体的明示同意，确保其在充分知情的基础上自愿提供具体、清晰、无歧义的信息。 表达意愿并允许个人信息主体选择是否提供或同意自动收集。 这一点具体体现在免费Wi-Fi连接APP上，即在用户使用该APP前，应明确提示用户Wi-Fi信息将如何收集、使用和共享。

上述应用程序能否确保用户充分了解情况？

隐私卫士审核了上述10款软件的隐私条款，发现3款APP没有提供任何协议，分别是通用“WiFi连接密钥”、“通用WiFi密钥”和“WiFi通用密码密钥”，这意味着它们完全没有提供任何协议。忽略 用户知情权可能会收集包括WIFI密码在内的用户个人信息。

其他APP虽然有隐私协议，但直接将用户同意授权共享Wi-Fi密码纳入隐私条款中，并且打包在一个包中。

“WiFi伴侣”“WiFi钥匙”和“安全WiFi”的隐私条款均提到，点击“√”或“登录”即表示用户同意与其他用户共享Wi-Fi密码，同意APP自动使用路由器账号，并默认开启自动共享连接热点的开关（开关状态可在设置页面更改），相应的，他们也主动否认责任，称非Wi-Fi用户请勿使用此功能发挥作用，否则后果自负。

这种在冗长的隐私政策中“隐藏”若干相关内容的做法，实际上并不能保证用户的知情权。 更合适的做法是在WIFI密码共享页面提供合理的共享功能说明，并默认禁用。

然而，隐私卫士发现，即使在核心的Wi-Fi密码共享页面上，也只有三个应用程序提供了声明，而且内容更像是免责声明。

例如，《WiFi管家》在“功能分享”中提到，用户应保证分享和提交的信息真实、准确、有效、安全，并有权分享和提交相关信息，且不会导致其他用户使用公共WiFi-Fi的误认不会侵犯他人的合法权益。 “WiFi万能钥匙”的“热点互助共享计划”要求用户不得出于非法目的共享Wi-Fi热点。 “安全WiFi”只是简单说明，并不对共享Wi-Fi的真正安全性做出任何承诺或保证。

可见，在这种由Wi-Fi网络所有者、提供Wi-Fi共享服务的运营商、用户组成的格局中，最大的受害者无疑是网络所有者。 王刚说，“毕竟Wi-Fi是我花钱安装的，有人上网不仅影响网速，还可能埋下信息安全风险。”

小心，工信部提醒您：使用网络应用要小心。

正如许多Wi-Fi共享公司的隐私条款中提到的，该平台并不自行创建内容，而仅承担存储的角色。 所有数据内容均由用户主动上传。 然而，Wi-Fi共享软件却因“用户自愿上传密码有多少知情选择权”、“平台庞大的密码数据库是否由Wi-Fi拥有者本人共享”等原因受到质疑。

有专家认为，这些争议反映出，目前国内软件市场上的各类软件在用户个人隐私信息的收集和保护方面仍存在违规行为，包括默认勾选同意授权、过度收集用户个人信息等。 、以及未能明确通知等问题。 这不仅违反了知情同意的基本原则，而且构成了对个人信息的侵犯。

隐私卫士发现，被点名后，Wi-Fi万能钥匙于3月30日修改了隐私政策，增加了对用户信息收集及其用途的说明，明确指出用户在使用“连接热点”、“钱包”时以及其他功能，需要提供哪些个人信息以及使用目的。 并表示，只会出于合法目的共享您的个人信息及其他信息，同时采用内容替换、匿名化等方式对用户信息进行脱敏，以保护个人信息及其他信息的安全。

4月3日，工信部发布通知称，近日组织专业机构对涉嫌“窃取密码”的手机应用“WiFi万能钥匙”、“WiFi钥匙”进行技术分析。并发现这两个移动应用程序共享了用户的登录密码。 Wi-Fi 网络密码和其他信息的功能。 这两款应用程序还将接受当地通信部门的进一步调查。 同时，工信部也提醒用户谨慎使用此类软件。

网络安全专家王刚告诉南都记者，为了避免Wi-Fi共享软件可能带来的风险，最直接有效的措施就是经常更改Wi-Fi密码。

他建议，在用户下载APP之前，Wi-Fi共享软件厂商应在应用商店中提供相关提示，让用户决定是否安装。 用户下载后还应保证自己的知情权。 共享Wi-Fi后，应告知用户Wi-Fi名称、密码、地址等信息会自动上传，以及可能存在的风险，以便用户明确同意。