央视:WiFi万能钥匙盗取信息 轻松进入外交部大楼网络

央视新闻

  重大预警!多家国家机关、金融机构Wi-Fi密码被窃,9亿用户如同“裸奔”

  Wi-Fi全称叫做无线保真,和蓝牙一样,属于在办公室和家庭中使用的短距离无线通讯技术。一般来说,消费者都是自己花钱购买Wi-Fi设备,缴纳电信的流量费用,设置属于自己的登录密码,但实际上,你的Wi-Fi密码,你花钱购买的流量,可能早就被人悄悄地偷走了。

  从个人到商场,从外交大楼到金融重地,“万能钥匙”统统可以轻松窃取密码

  根据观众的举报,《经济半小时》记者打开手机软件商店,无论是安卓手机系统还是苹果手机系统,软件商店里都有叫做Wi-Fi万能钥匙和Wi-Fi钥匙的免费软件。它的下载排名非常靠前,销售业绩非常火爆,它的图标如同一个电波发射信号,寓意着无论你身在何处,Wi-Fi都可以一键链接。

  这两款APP,深受网友的喜爱,从它的评分及评论上可以看到,满分5分的评分标准,Wi-Fi万能钥匙得了4.5分,近10万评论。而Wi-Fi钥匙则得了4.8分,评论超10万。

  观众举报称,这两款软件会将所有的Wi-Fi信息放进它编织的后台程序里,只要消费者下载并使用,这个消费者的手机就自动成为了这个软件的一个流动间谍。这两款软件借用消费者的手机,会窥探这部手机周边和经过地点所有的Wi-Fi信息,悄悄偷取各类Wi-Fi的密码信息,在消费者丝毫不知情的情况下,将这些信息传软件的后台,一切都神不知鬼不觉地完成。

  2018年3月初,记者首先在北京开始了测试。位于朝阳门外大街的吉庆里小区西南角的11号楼楼下,记者打开了已经下载到手机里的Wi-Fi万能钥匙软件,并关闭了记者手机的4G信号。

  瞬间,吉庆里小区11号楼以及周边所有的Wi-Fi信号全部显示出来。短短的几秒钟时间,记者就连接上了一个tenda的加密网络。而这个Wi-Fi究竟是谁的?承担什么功能?记者在一无所知的情况下,软件就帮助记者的手机顺利进行了登陆。随即,这个Wi-Fi网络背后的一切,都展示在了记者的面前。

  随行的技术人员告诉央视财经《经济半小时》栏目记者,这个路由器没有更名,可以看到它是腾达的路由器,一些人员可以通过腾达进入它的后台登录地址。

  如果用户的后台原始密码没有修改的话,输入admin是可以直接进入路由器的后台,看到一些连接人的信息,包括一些黑客可以对银行卡密码这些信息进行盗取,但是这家已经修改了原始密码。

  那么这户人家的Wi-Fi密码是多少呢?记者打开Wi-Fi钥匙软件,通过360root工具,获取到root权限后,在Wi-Fi钥匙里就能查看到这家无线Wi-Fi的密码。在手机屏幕上直接显示出,该密码是一个尾号为9835的手机号码。

  这样的测试对于一个普通消费者来说,无疑是震惊的。通过Wi-Fi钥匙这款软件,记者不仅仅窃取了这户人家的Wi-Fi密码,而且,还能通过这个软件看到这个Wi-Fi网络后面所有的隐私。比如:个人的微信。从刚才得到的手机号码我们搜索出一个微信号,就可以进行添加。一个密码查到了一个微信,但是偷取的东西还远不止这些。

  用同样的方法,记者又通过Wi-Fi万能钥匙查找到另一个名为ziroom505的密码为400开头的一串数字。

  更让记者震惊的是,不光个人的Wi-Fi能够随意的窃取,商业机构的Wi-Fi密码也能被这款Wi-Fi万能钥匙软件窃取。

  在北京朝阳区朝阳门外大街18号的丰联广场,记者刚刚走到大门口,Wi-Fi万能钥匙很快就自动连接上了丰联广场的加密无线Wi-Fi。

  在朝阳门内大街2号凯恒中心的一家星巴克咖啡店,记者通过Wi-Fi万能钥匙搜到了15个Wi-Fi热点,很快就自动连接上一个加密的ZKWX的Wi-Fi。

  在朝阳门外大街丰联广场二楼,一家名为宁味夏语的餐厅,记者通过Wi-Fi万能钥匙看到能连上六七个加密的Wi-Fi网络,软件以最快的速度连上了标示为ningweixiayu-guest的网络。

  在餐饮和休闲场所,Wi-Fi万能钥匙和Wi-Fi钥匙都展示出非常强大的蹭网功能,窃取他人的Wi-Fi密码,如同囊中探物一般的轻松。

  观众举报还提到,除了能轻松攻破小区住户和普通商户的Wi-Fi用户名和密码,Wi-Fi万能钥匙软件对于国家重要机关、金融机构的Wi-Fi网络密码,也同样能实现轻松窃取。一款普通的软件,是否能胆大妄为到这样的地步吗?记者继续展开测试。

  在北京市朝阳区的中华人民共和国外交部办公大楼门口,记者打开了手机上的Wi-Fi万能钥匙软件,开始测试能上网的信号强弱。手机显示了有四个可以连接的加密网络信号,记者随意通过软件连上了信号最强的BJST-1 标示的网络并能轻松上网浏览网页。无任何的阻拦、无任何的密码检查,记者就这样在Wi-Fi万能钥匙软件的帮助下,进入了外交部大楼里的网络系统。

  在北京市东城区朝阳门内大街2号的中国银行[股评]北京市分行。中国银行的英文名称是bank of china,每个开头字母的缩写是BOC。在中国银行北京市分行的自助柜台机(ATM)旁边,记者打开手机,5秒钟的时间,不仅成功地连接上BOC_CA的无线网络,而且还能看到它的IP地址,子网掩码,路由器等相关信息数据。那么这个刚刚连接上的BOC_CA的无线网络,与中国银行北京市分行有什么关系呢?

  中国银行北京市分行工作人员:有无线网络,得用微信认证,BOC_CA不是我们一楼的,是别的楼层的。

  工作人员告诉记者, BOC-CA 是这个大楼内银行其它部门的网络。但是,即便是被加密,依然被Wi-Fi万能钥匙和Wi-Fi钥匙两个软件轻松窃取,并予以了连接。

  在位于朝阳门北大街17号中国人民财产保险有限公司北京分公司,记者测试发现,Wi-Fi万能钥匙至少可以窃取到6个可以分享连接的无线网络。记者仅仅就站在公司的大门口,便很轻松地用软件连接上有中国人民保险英文缩写字样的BJPICC的网络, 软件的后台立刻显示出它的IP地址,子网掩码,路由器等相关信息数据。

  记者在北京展开了一系列的测试,无论是普通居民小区、商业机构,还是政府机关、金融机构,Wi-Fi万能钥匙和Wi-Fi钥匙两个软件都能顺利的窃取到这些个人和单位的Wi-Fi密码,并顺利连接。而且通过后台,可以清楚的查阅Wi-Fi的后台数据信息。简单的说,在这两个软件面前,很多公共机构如同裸奔一般,毫无任何秘密可言。

  在上海市人民政府大门门口,记者打开Wi-Fi万能钥匙,上面显示附近发现8个Wi-Fi热点。记者尝试了信号强度最好,标示为TAOJR的加密网络,很快就能连接上网,并看到它的密码是一个尾数为5751的手机号码。

  上海是中国的经济、金融、贸易中心,陆家嘴[股评]位于上海市浦东新区的黄浦江畔,是众多跨国银行的大中华区及东亚总部所在地,中国最具影响力的金融中心之一。这里汇集了汇丰银行、花旗银行、东亚银行等多家外资银行。那么在陆家嘴这样的金融中心,这里的Wi-Fi密码,Wi-Fi万能钥匙和Wi-Fi钥匙两个软件是否也能窃取到呢?

  在上海浦东新区陆家嘴东路161号,招商局大厦的上海元亨祥股权投资基金集团有限公司,这家公司的网站上这样描述,它已经为全国各地的智慧城市、PPP投资运营提供投资资金逾百亿元。

  那么Wi-Fi万能钥匙软件是否能打开它的加密网络呢?记者通过搜索查到了有元亨祥大写字母标示的YHX-F1-1的网络,点击后,非常顺利地就连接上了,而且还得到了一组以A18539开头的一串密码。这串由两组21个数字和字母编写而成的复杂密码,仅用几秒钟就被Wi-Fi钥匙的软件窃取到手。

  位于陆家嘴花园石桥路66号金融大厦里的东亚银行,是香港最大的独立本地银行,股票总市值达到900多亿港元。

  记者在东亚银行门口查到了一个BEA-guest的加密Wi-Fi,它的密码是8位数字。离东亚银行不远处是上海市浦东新区银城中路8号,海银金融控股集团有限公司。

  海银金融控股集团有限公司经营范围涵盖财富管理、基金、保险、银行、期货等领域,管理资产达800亿元,业务范围覆盖美国、德国、新加坡等多个国家和地区。

  在海银集团的总部门口,记者成功地连接了它加密的VIP网络,并成功地破解了它后缀为2016的网络密码。

  而位于上海延安西路2299号的上海世贸商城,总面积28万平方米,是一个集展示、交易、办公、资讯于一体的超级交易市场,这里云集了国内外上千家供应商和跨国采购机构。记者进入这栋大楼,

  在二楼的中国检验检疫大厅门口,通过Wi-Fi钥匙看到了它标示为PJCIQCN的加密Wi-Fi密码,并在这座大厦的三楼连接上了荷兰品牌C&A的网络;

  在大厦的4楼A28位置,连上了上海全鹏实业有限公司的加密网络;

  在5楼连上了名为urban walkers 生活馆的加密网络;

  在6楼A27 连上了广东高达织造有限公司的加密网络;

  在7楼B05 连接上了上海祥益纺织品有限公司的加密网络。

  记者通过实地测试发现,无论商家是否有自己加密的无线网络,只要距离足够近,Wi-Fi万能钥匙和Wi-Fi钥匙的App软件,都能成功连上这些网络并马上破译这些机构设置的网络密码。

  一款号称全球用户总量突破9亿的APP软件 竟然是盗取用户个人信息的黑手

  使用这两款软件,对消费者而言是拥有了强大的蹭网功能,但我们也不知道,Wi-Fi万能钥匙和Wi-Fi钥匙软件通过攻破网络,还会去掌握哪些个人或者机构的隐私及信息?

  如此明目张胆地偷取个人,商业机构,国家重要机关单位的网络密码, Wi-Fi万能钥匙和Wi-Fi钥匙究竟是怎样的一个App软件?免费给消费者提供蹭网的最终目的又是什么呢?这样的软件是通过什么模式来盈利的?如此大胆的这两家互联网公司到底是什么公司呢?

  根据手机软件上的介绍,记者很快找到了这家生产销售Wi-Fi万能钥匙软件的互联网公司---上海连尚网络科技有限公司,上海浦东新区张江张衡路666号一号楼盛大全球研发中心,Wi-Fi万能钥匙的总部就在这里。

  Wi-Fi万能钥匙物业管理人员:Wi-Fi万能钥匙是在这,有预约好的吗?没有预约他们不接见的。约好了找谁,我们再通过通讯录打电话确认,他们愿意接见才上去。

  一连几天,Wi-Fi万能钥匙公司始终无法登门拜访,应聘进不去,谈业务也进不去。无奈之下,记者四处寻找如何突破,终于一名Wi-Fi万能钥匙代理商通过qq主动与记者取得了联系。

  为了招揽生意,代理商与记者进行了简单地沟通,随后就给我们发了一个网页,打开网页清楚地看到,这是整个Wi-Fi万能钥匙软件的广告推介页面以及和它合作的21家企业的标识。这位代理商告诉记者,他们的总部在上海,广告事业部在北京,他是核心代理商,也是湖南地区的独家代理。

  随后记者详细询问,如果一款可以提现金的棋牌类手机游戏,推广的话是什么价格。这位代理商告诉记者,按照点击量来付费,一个广告的点击价格在0.6元到一元。他声称,Wi-Fi万能钥匙客户流量很大,放开跑,一天能有几十万的点击量。但马上他又很警惕地告诉记者,315期间Wi-Fi万能钥匙不接受棋牌类广告,因为风险管控,棋牌类容易出现赌博。

  Wi-Fi万能钥匙的这名代理商明确表示,即使可以提现,并且带有赌博性质的棋牌游戏,只要过了315,也可以在Wi-Fi万能钥匙上进行推广。

  为了进一步表明他是Wi-Fi万能钥匙的广告代理的身份,他还向记者发了一份自己做代理商的总账户明细。上面的广告费余额是587724.59元,有170个广告主。当记者追问,如果手机游戏没有ICP的备案和许可证怎么办时,对方依然回答说可以上,没有这些认证也可以上推广。

  随后这位代理商给记者发了一份Wi-Fi万能钥匙的广告推介ppt,上面明确标注:截至2016年6月26日,Wi-Fi万能钥匙全球用户总量突破9亿,用户月活跃数突破5.2亿。不同样式的广告位价格,究竟是按照信息流还是按照竞价排名,在这个ppt里都被标注得一清二楚。

  随后,这名代理商告诉记者,打开Wi-Fi万能钥匙应用,在右下角有一行非常小的蓝色字体《Wi-Fi万能钥匙用户协议》,点击立即体验时,就等同你默认了这个用户协议。 而Wi-Fi万能钥匙在这个用户协议当中,有一项隐私政策的声明,里面描述了“它会如何收集和使用消费者的个人信息及其他信息”这些信息包括最基本的用户使用手机的设备信息; 使用服务器的IP地址;GPS定位等等。而最为关键的一点是Wi-Fi万能钥匙需要共享、转让、公开披露用户的个人信息,只有这样才能实现这个产品所谓的“核心服务功能”。

  在用户使用时很少有人会关注到这一点,除非你进入设置中,申请取消Wi-Fi万能钥匙的热点分享。但如果消费者要这样保护的自己权益的话,必须要填写热点ssid的名称;热点的密码;路由器mac的地址。并要拍摄路由器的背面外观,最终这一切繁碎的内容都填写完后,还要提交申请等待Wi-Fi万能钥匙的审核。它同意了,你才能取消分享。

  直到这时,记者才明白,这个看似点对点的服务,实际上是通过Wi-Fi万能钥匙变成点对N,由此掌握更多的IP地址,GPS定位,通过信息分享吸引客流量,发布各类广告达到赚钱的目的。

  但在调查中记者发现,Wi-Fi万能钥匙的网页,也充斥着不少色情图片和内容,在一些淫秽的图片和视频下方都会有这样一个“点此投放广告”的标示。点击进入就会显示出一个Wi-Fi万能钥匙的广告服务平台的微信公众号。

  为了弄清真相,记者加入了这个微信,输入广告投放后,出现了需要添加的尾号为1636的字样号码。由于记者调查的时间处在“315”前后,因此,记者多次添加尾号为1636的qq号码,都没被接受为好友。

  Wi-Fi万能钥匙软件窃取网络用户名和密码,严重损害了网络用户的合法权益,而另一款App软件Wi-Fi钥匙也是如出一辙。

  从Wi-Fi钥匙的App显示,记者查到它的公司名称为厦门众联世纪科技有限公司。记者注意到,在Wi-Fi钥匙的App里,同样留下了一个以400开头的客服电话,随后记者拨打了Wi-Fi钥匙客服。

  Wi-Fi钥匙客服:很高兴为您服务,请问有什么可以帮您?

  《经济半小时》记者:你们这边是Wi-Fi钥匙的客服电话吗?

  Wi-Fi钥匙客服:我们这边不是Wi-Fi钥匙的客服电话,您是不是拨打错电话了?我们暂时没有此类服务,您这边的话也咨询一下其它地方看您是不是打错电话了,我们这边是第三方充值商家的。

  Wi-Fi钥匙明明在App里对外公布了客服电话,为什么是一个和它毫无瓜葛的第三方充值商家机构呢,那么这个Wi-Fi钥匙究竟是一家怎样的公司?记者根据Wi-Fi钥匙App对外公布的地址,找到了福建省厦门市软件园二期望海路14号楼之一101单元,刚进入望海路14号楼的大厅,我们就看到一个广告牌上面印着Wi-Fi钥匙由此进入的字样,当记者走进这家公司才发现,在它的前台打着众联世纪的牌子。

  当得知记者为刊登广告而来的时候,这位姓刘的高级商务经理接待了记者,她详细地告诉记者Wi-Fi钥匙的广告是如何来运作的。

  众联世纪高级商务经理刘经理:按分成来走的,就是我们给它导流,如果用户有一个付费充值的话,那么这边有一个流水分到我们这边,就这样来做。

  这位刘经理为了展示Wi-Fi钥匙广告平台的吸引力,告诉记者它们的客户量和装机量在苹果手机App里榜上有名。

  刘经理:装机量从2013年开始做到现在有2亿多,但是日活差不多在三四百万左右,在苹果榜单上也是比较厉害,进前一百了。

  这位刘姓的商务经理为了显示Wi-Fi钥匙的实力,向记者详细介绍了Wi-Fi钥匙的广告推广、商业信息和由此带来的收益。

  刘经理:比如说它做了5000块钱流水,那它就会分三到四成五成这样子给我们,我们一年广告的收入,公司的数据不太方便,流水跑的话,可能在三四千万元左右。

  打开Wi-Fi钥匙的网页,首先就是一个不堪入目的保健类内裤的广告,以及一些不堪入目的黄色内容和色情交友软件推广。它的广告推介平台正是来自于上面的“众联广告”。

  这些窃取用户Wi-Fi密码,利用广告盈利的网络软件,消费者究竟该怎样来看清楚他们的面目,维护自己的权益呢?

  邱宝昌,北京市法学会电子商务法治研究会会长,他提醒消费者,大家要有基本的网络安全知识,千万别去贪小便宜,自己的“Wi-Fi”一旦被分享出去后,隐藏着诸多的安全隐患。

  北京市法学会电子商务法治研究会会长 邱宝昌:要经过消费者同意,不同意你不能默认假定消费者同意了,所以这样法律上有明确规定,涉及到信息应该怎样去保存呢,你要保存你所收集的信息,不泄露你不得用于一种商业交易,并且你还要注意到你收集的信息,有可能泄露的时候你要加强技术手段,对于国家涉及到国家主权国家信息安全的,不是你能收集的,那你是刺探情报,那就是泄露国家秘密。泄露国家机密的贩卖个人信息的,窃取他人商业秘密的,要依法依规地打击。