本文来自微信公众号:ZEALER(ID:zealertech),作者:ZEALER,原文标题:《3·15 曝光,安卓手机变卡的罪魁祸首,竟是这些“常用”软件!》,头图来自:视觉中国
今年的315 晚会曝光了一系列的市场乱象,最受关注的大概要数各色“老坛酸菜包”了,其中有部分竟然是土坑腌制,工人们或穿着拖鞋或光着脚踩在酸菜上,甚至把抽完的烟头直接扔到酸菜上。一经曝光,各大平台纷纷下架了老坛酸菜相关的产品,曝光出来的供应商纷纷声明,撇清关系。
纵观方便面界,老坛酸菜面口味想必是风靡全国,其精华就在那一包小小的酸菜包上。不知看到那些曝光的画面,曾经钟爱老坛酸菜面的小伙伴,如今作何感想?
当然作为科技平台,我们还是把目光放在数码科技领域。这一次 315 晚会上,央视就曝光了所谓“免费 WiFi”软件。这些发源于十年前的 WiFi 蹭网软件,并没有随着智能手机的发展、上网套餐提速降费的推进而消失。它们仍然活跃在街头巷尾,被许许多多的智能手机用户安装使用。
可是,所谓的免费 WiFi 应用不仅不会带给你 WiFi 的“免费午餐”,甚至还能源源不断地为你的手机带来垃圾软件,让手机变卡,并带来各种不可估量的隐私安全问题。
一、曝光篇:名为免费,暗藏陷阱
315 信息安全实验室对流行的 WiFi 破解软件进行了逐一测试。比如这款名为“WiFi破解精灵”的软件,打开之后即可看到一列长长的 WiFi 连接点。测试人员点击“免费连接”之后,软件显示“正在破解WiFi获取密码”,随即提示失败。
是软件不灵吗?工作人员更换了数个软件,均无法成功连接。尽管有的软件会在屏幕上显示密码,但剧情几乎是一模一样,根本无法连接。
重点来了。连接测试结束后,测试人员发现,手机上莫名其妙多了一些软件。在测试过程中,测试人员并没有主动下载这些软件。原来,这些软件在“确认”和“打开”字样的弹窗里暗藏广告链接,一旦被诱导点击,就会自动安装广告应用。
更可怕的是,这类免费WiFi的应用程序还在后台大量收集用户信息,比如一款名为雷达WiFi的应用程序,一天之内收集测试手机位置信息的次数,高达67899次。还有的应用会频繁自启动,比如“越豹WiFi助手”,仅 11 点 16 分就允许了 46 次自启动。
我们昨天的文章就提到过,安卓手机的内存机制决定了,安卓应用是有多少内存吃多少。把这套机制玩熟的流氓应用,还会用各种手段伪装自己以实现常驻后台,防止被系统杀掉,或是偷跑指令、收集信息。大量资源被它们挤占,手机自然就变卡了,换做一些配置不太好的入门手机,指不定就卡出天际了。
这些应用频繁自启动、收集用户数据的背后,是一条长长的利益链条。手机上被自动装入各种应用之后,它们往往会送上各种广告弹窗,借助广告获利。更危险的是,它们掌握了大量的用户数据,带来了巨大的隐私泄露风险。
二、原理篇:所谓破解,如何实现?
如果只是作为心理慰藉,免费 WiFi 软件恐怕不会变得这么流行。它们能在广大智能手机用户之间广为流传,表明它们的“破解”还是发挥了一点点用途的,只不过是极少数的场合。那么,这些是怎么运作的呢?
弱密码破解
最直接的方法,当然就是硬来,暴力破解。如果需要破解的 WiFi 连接点采用的是一些弱密码,比如“12345678”、“88888888”这种的,基本分分钟搞定。早期的破解软件往往是这么工作的,对周边 WiFi 以常用密码穷举,总能匹配到合适的。
真的会有人设置这么简单的密码吗?事实就是,早几年前这么设置路由器密码的大有人在,图个方便。那时候的路由器默认网关都大差不差,管理员用户名和密码清一色的“admin”,很多用户也不会专门去更改。现在的主流路由器,初始设定的流程已经改变了许多,较少会出现上面的问题。
暗藏的密码分享
暴力破解虽然实用,但面对复杂密码就不太管用了。对此,聪明的你可能已经想到办法,与其硬来,不如让用户主动(或者被主动)地分享。
从一起著名案例上,我们可以隐约窥见此类应用的冰山一角。2018 年 3 月 28 日的《经济半小时》上,央视曝光了 WiFi 万能钥匙的“秘密”:
应用的右下角有一行非常小的蓝色字体《Wi-Fi万能钥匙用户协议》,点击立即体验时,就等同你默认了这个用户协议。而Wi-Fi万能钥匙在这个用户协议当中,有一项隐私政策的声明,里面描述了“它会如何收集和使用消费者的个人信息及其他信息”。这些信息包括最基本的用户使用手机的设备信息;使用服务器的IP地址;GPS定位等等。而最为关键的一点是Wi-Fi万能钥匙需要共享、转让、公开披露用户的个人信息,只有这样才能实现这个产品所谓的“核心服务功能”。
如果要取消热点分享,必须手动申请,填写热点 ssid 名称、密码、路由器 MAC 地址、拍摄路由器的背面外观,并等待审核通过才可以取消分享。
收集了这么多关键信息,知晓 WiFi 密码就不是什么难事了。靠着一系列的操作,WiFi 万能钥匙甚至可以连上一些国家机关、金融机构的 WiFi 热点。
遭到曝光后,WiFi 万能钥匙官方很快进行了回应,要点包括“运行原理是热点共享不是破解”、“一直强调由 WiFi 热点主人分享热点”等。但是对于应用是否主动提示用户登录即视为同意用户协议,或者如何判断分享者为热点主人等关键问题,官方没有明确回应。
央视报道称,WiFi 万能钥匙上充斥着各种各样的广告。当时该应用已经积累了 9 亿用户,因此通过广告投放盈利,便是自然而然的了。靠蹭网的噱头积累用户量,再以广告投放的方式变现,免费 WiFi 几乎都遵循这一套模式。
三、莫拿隐私换便利
免费 WiFi 这件事,说到底还是“隐私换便利”的经典问题。蹭网一时爽,隐私无处藏。它们就如同那些违背祖宗的“神医”,利用广大群众病急乱投医的心理,以各种擦边球的方式牟取利益。
无论这些所谓的免费 WiFi 服务是否管用,它们的潜在危害都是巨大的,轻则手机变卡、广告遍地,重则导致个人隐私与企业单位机密泄露。正应了那句老话:免费的服务是最昂贵的。
所幸的是,如今随着各大运营商提速降费的推进,我们有了许多实惠的大流量套餐可以选择,上网流量已经不像十年前那样捉襟见肘。如果这些实惠的资费套餐能够进一步推广开来,惠及每一位用户,那时这些免费 WiFi 软件,应该就可以彻底告别时代了吧。
本文来自微信公众号:ZEALER(ID:zealertech),作者:ZEALER