蹭网APP：偷偷把你家Wi-Fi变公共网络

近日，“WiFi万能钥匙”和“WiFi钥匙”两款免费Wi-Fi连接APP被质疑窃取用户Wi-Fi密码。Wi-Fi共享软件能让用户发现并连接周边的Wi-Fi，无需知道密码就能“蹭网”。南都记者调查发现，免费、便捷上网的背后，隐含着极大的安全风险。

4月3日，南都记者实测10款下载量靠前的免费Wi-Fi连接APP发现，五成APP默认开启“共享Wi-Fi信息”，有的甚至还可查看明文Wi-Fi密码，而几乎没有平台明确告知用户，共享Wi-Fi可能存在的安全隐患。而身为Wi-Fi主人的你，不仅难以察觉，还可能被人泄露隐私。

这些APP真的会窃取Wi-Fi密码？

不久前，央视一则《偷密码的“万能钥匙”》报道引起广泛关注。记者安装“WiFi万能钥匙”和“WiFi钥匙”两款APP后，在北京多个地方成功连接陌生人家的Wi-Fi，其中既有居民区、商场、餐厅、咖啡店，也有政府部门和办公场所等。

基于共享网络资源的极大便利，类似“蹭网”APP成为很多人的“装机必备”。据“WiFi万能钥匙”官网介绍，APP上线后不到4年，总用户量就突破了9亿，月活跃用户数超过5.2亿。

然而，相比于免费上网的吸引力，很多用户对于分享Wi-Fi信息可能带来的安全隐患并无概念。央视报道质疑，上述两款APP在消费者丝毫不知情的情况下，窃取并存储Wi-Fi名、密码等信息，涉嫌入侵他人Wi-Fi网络以及窃取用户个人信息。

多名技术专家也向南都记者证实，安卓系统中有个专门存储Wi-Fi密码的文件，只要获得ROOT权限就可以查看系统中存储的已成功连接过的Wi-Fi密码。免费Wi-Fi连接APP的技术原理可以简单理解为，用户A通过APP连接某个Wi-Fi并输入密码，APP在后台存下Wi-Fi的名字、IP和密码等信息；当用户B搜到同一个Wi-Fi时，即使不输入密码，APP也可以通过调用后台存储的信息，帮助用户B直接登录。

北京益安在线的网络安全专家王刚进一步分析，“陌生人通过免费Wi-Fi连接APP和你进入同个局域网，就相当于在你家上网。对方如果稍懂技术，你的IP地址、手机型号、电脑等信息都可能泄露，甚至你家里的电视机等联网设备等都可能被操控。”同理，对企业来说，员工使用此类APP也可能导致企业内部信息被泄露。

南都记者注意到，被央视报道点名的两款APP迅速回应称，APP本身不具备密码特别功能，而是通过用户主动共享Wi-Fi信息实现功能。“WiFi万能钥匙”还表示，获取信息均在法律允许范围内，还需经用户同意。

分享Wi-Fi信息是用户明示同意的？

《个人信息安全规范》要求，收集个人敏感信息时，应取得个人信息主体的明示同意，确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示，并且允许个人信息主体选择是否提供或同意自动采集。具体表现在Wi-Fi共享软件上，即在用户使用之前，APP应明确提示Wi-Fi信息将被如何收集、使用和共享。

4月3日，南都记者以“WiFi”为关键词，在安卓平台上下载了排名靠前的10款免费Wi-Fi连接APP，其中包括前述被点名的“WiFi万能钥匙”“WiFi钥匙”，其余8款APP的提供商既有、360等大型互联网公司，也有其它软件开发公司。

南都记者查阅上述10款软件的隐私条款发现，多款APP直接将“用户同意授权分享Wi-Fi密码”写进了隐私条款，更有3款APP未提供任何协议，分别是万能“WiFi连接钥匙”“万能WiFi钥匙”和“WiFi万能密码钥匙”。

“WiFi伴侣”“WiFi钥匙”和“平安WiFi”的隐私条款里均提到，用户点击选择“√”或“登录”即同意共享Wi-Fi密码给其它用户、同意APP自动采用路由器账号，以及默认开启自动分享已连接热点的开关。

在这个由Wi-Fi网络拥有者、提供Wi-Fi共享服务的运营者和用户三方构成的格局中，最大的受害者无疑是网络拥有者。“毕竟是自己花钱装的Wi-Fi，有人蹭网不仅影响网速，还可能埋下信息安全隐患”，王刚说。

对用户而言，无疑也是用个人隐私交换效率和便利。据新华社报道，Wi-Fi分享软件会根据用户使用偏好、位置等信息，精准推送广告，或为商户导流。以全球用户超过9亿的“WiFi万能钥匙”为例，官网自称“专注于提供免费上网、内容服务、精准广告以及场景化营销等服务”。

即使在最核心的Wi-Fi密码分享页面，也只有3款APP提供了声明，声明内容无视用户权利，更像是免责条款。

比如“WiFi管家”在《功能分享》中提及，用户应当保证分享、提交的信息系真实、准确、有效、安全，且有权对相关信息进行分享、提交，不会造成其他用户对公共WiFi的误认，亦不会侵犯他人的合法权益：“平安WiFi”则干脆表示，不对共享Wi-Fi的真实安全性等作出承诺和保证。

Wi-Fi信息是你主动共享的？

南都记者注意到，在回应“窃取密码”的质疑时，两款被点名的APP均表示是Wi-Fi所有者“主动分享”。事实果真如此吗？

王刚曾使用过多款WiFi共享软件，他发现70%～80%的情况下用户其实是被动分享。南都记者也通过实测发现，10款受测APP中，一半存在授权漏洞，未给予用户充分的知情选择权。

在分享页面中，有5款APP默认勾选Wi-Fi密码分享选项，其中3款甚至以奖励的方式引导用户分享。比如，“平安WiFi”称“分享Wi-Fi得奖励”：“WiFi万能密码钥匙”和“360免费WiFi”则直接打出奖励内容，前者可获得300积分，后者直言“分享能赚300金币”。

比引导分享更值得注意的是，有的APP首次使用便直接默认开启Wi-Fi密码分享。南都记者发现，在已经连接Wi-Fi的环境下，首次进入“万能WiFi钥匙”APP，“设置”页面上的“共享WiFi信息”开关就已经默认开启，也就是说，Wi-Fi信息在用户毫不知情的情况下已经被共享。

而进入另一款“万能WiFi连接钥匙”APP的设置页面后，南都记者被直接提示输入热点名称和密码。此外，该APP还有Wi-Fi参数查询功能，Wi-Fi名称、IP地址、MAC地址、网关一览无余，手机ROOT后还能查看曾经连接成功的Wi-Fi密码。试想，如果用户的Wi-Fi密码正好是其手机号或生日等个人信息，无形中个人隐私也泄露了。

从南都记者的实测结果看，用户共享Wi-Fi的行为并非完全主动知情。换句话说，不少免费Wi-Fi连接APP主动收集用户输入的密码，或者引导用户分享密码；即使小部分表示得较为“收敛”，给予用户相应的选择权，也没有充分告知可能存在的风险。

更可怕的是，即便Wi-Fi主人的安全意识较强，未使用过任何蹭网软件，也难逃外来干扰。王刚就曾遇到过这样的事：亲戚朋友来家里做客，因为手机里装有Wi-Fi共享软件，一连上他家网络，密码就被共享出去了。

工信部提醒

谨慎使用蹭网类APP

诚如很多Wi-Fi共享企业在隐私条款里提到的，平台并不自行创造内容，所有数据内容均由用户主动上传。但核心问题是，共享Wi-Fi后就不存在安全风险吗？更何况有些用户是在不知不觉的情况下被动分享Wi-Fi密码的。有专家认为，这不仅违背了基本的知情同意原则，还涉嫌对个人信息构成侵权。

被央视点名后，安卓版“WiFi万能钥匙”于3月30日更新了隐私权政策，但iOS版仍使用去年9月30日生效的版本。新修订的隐私权政策里，增加了收集用户信息及其用途的说明，明确指出当用户使用“连接热点”、“钱包”等功能时，需要提供的个人信息及使用目的。

4月3日，工信部发布通报称，近日组织专业机构对两款被央视点名的APP做了技术分析，发现它们具有共享Wi-Fi密码等信息的功能，将进一步调查。同时工信部也提醒用户，谨慎使用这类蹭网软件。

怎样才能避免这类软件可能带来的风险？王刚指出，最直接有效的措施是经常修改Wi-Fi密码。