正在阅读：秘：WiFi万能钥匙是如何收集用户数据的?秘：WiFi万能钥匙是如何收集用户数据的?

　　【PConline 资讯】你的手机上装有类似“WiFi万能钥匙”的app吗？你了解过所谓的“覆盖全国1.2亿WiFi热点”是如何实现的吗？你怕被蹭网吗？担心过自己的隐私安全吗？无论你的回答怎样，请记住，现在包括未来，网络隐患时刻威胁着你我，千万不要再认为“只有国家、安全部门、金融机构和大型企业才会面临信息安全问题”。网络安全，关乎每一位普通民众。

　　说这些，正是因为近日WiFi万能钥匙被多位网友和多家媒体爆料，其所谓的“分享WiFi密码”实质是主动收集装有app的用户的手机无线数据，这里的“收集”说直白了就是堂而皇之的窃取——通过访问手机系统关键文件获取WiFi相关数据。

　　实际上，对于WiFi万能钥匙这种软件的质疑，类似风波早已不是第一次，相关的手机WiFi软件市面上到不了上百款，也肯定有数十款。然而，每每曝光过后都是无疾而终，没有确凿的证据是一方面，更让人的担忧的是——太多太多的国人根本就从未把隐私安全当回事，觉得这是大惊小怪。

　　此外，有人做过测试，在北上广这样的一线城市，WiFi万能钥匙破解公共区域WIFi密码的成功率高达8成以上，这也是此类软件为什么如此受欢迎的原因吧。 

　　WiFi万能钥匙是如何办到的？是如何收集用户数据的？究竟是怎样的一个工作原理？来看知乎用户CATT L的分析：

　　先讲个例子

　　有不少好奇心驱使的冤大头起初装这软件去蹭别人老是碰壁，然后就把软件无视了，也不卸载。后来自己家新装了宽带，有了Wi-Fi，连上去以后突然发现这个“钥匙”居然活了，还悄悄地把家里的Wi-Fi信息上传到了一个数据库，而这个数据库正是Wi-Fi万能钥匙团队宣传的“1.2亿WiFi热点信息”！凑巧的是，隔壁老王正好也装了这个app，他收到一条推送说附近有可以破解的Wi-Fi，于是这个“钥匙”就未经你允许把家里的Wi-Fi密码给了隔壁老王……

　　并且更绝的是，它会一直利用你，把你的手机当做他们宝贵数据的收集器——软件会不停监测和收集你连接过的每一个Wi-Fi信息！然后厚脸皮地占为己有，并慷慨地分享给其他人。当然，你并不孤独，全国到处都是这样的冤大头和隔壁老王。

　　这还是单纯的破解吗？

　　有人提出Wi-Fi万能钥匙的分享功能默认是关闭的，可是：

　　显然不是。

　　再看组数据

　　据了解，2014年12月18日，WiFi万能钥匙官方分项数据显示，截止到12月18日，WiFi万能钥匙有5亿用户数，2.3亿月活跃用户，超过17亿的日均热点连线数——一个庞大的Wi（yin）Fi（si）分享平台。

　　问题来了，Wi-Fi万能钥匙到底是怎么办到这些的？下文说。>>

　　Wi-Fi万能钥匙的工作原理

　　要证据，看源码。于是，把Wi-Fi万能钥匙的安装包反编译后在1051行我们看到了这个：

　　const-string v3, "cat /data/misc/wifi/wpa_supplicant.conf>/data/data/com.snda.wifilocating/wifi.confn"

　　拿Android系统为例（ps：Android的安全问题也是没办法的事…）跟大家做一下科普。

　　Android手机中的Wi-Fi数据被储存在一个名为“wpa_supplicant.conf”的文件里的，通常路径是/data/misc/wifi/wpa_supplicant.conf。这是个系统文件，包括这个data目录，权限不够高是无法访问的（所以软件会提示你需要root手机），而这个文件极其重要，得到了这个文件，或者能看到这个文件里的内容，就意味着能得到这台手机登录过的所有Wi-Fi热点信息，包括它们的明文密码！

　　而这行代码显示，Wi-Fi万能钥匙就是看了这个文件里的内容。而且更无语的是，这哪里仅仅是访问，还赤裸裸地将其复制（cat  >  filename 命令）到了自己的缓存目录com.snda.wifilocating下！最后大家注意，网友反编译用的还是1.0版本，当时还没有热点备份功能，源码上却做了这种小动作？神马行为？

　　现在明白了吧？所谓的“破解”无非是一个用户输入Wi-Fi密码之后被软件收集并上传，而第二个人通过云端获得密码的过程。我们手机连一个WiFi输入一次密码后下次会自动登陆的原因跟这个异曲同工，都是被系统记录，下次直接读缓存一样。

wpa_supplicant.conf文件，有兴趣的可以打开来看看

　　当然，肯定有人会说不在乎被蹭，但是你有没有想过，蹭网事小，安全事大。你用家里的无线买东西，聊QQ，甚至用个人电脑登企业软件办公（这就是所谓的BYOD了），你的支付产品、你的个人隐私暴露事小，坑了公司事大。

　　此外，同样的隐患还来自于传输阶段。如果这些Wi-Fi密码从手机端回传服务器或者分享密码的过程是明码传输？软件方没有对Wi-Fi密码进行任何加密？这都是潜在隐患，可以轻易被黑客将数据劫持走。

--------------------- 故事：攻下隔壁女神路由器之后，我都做了什么 ---------------------

　　最后，千万别再抱着“我没有被黑的价值”的侥幸心理，别以为黑客们只对BAT这些大企业下手，支付宝里300块也是钱，何况那么简单能拿到。还有个问题是，虽然黑客不黑你，却可以拿你的电脑当跳板去干其他一些被查水表的事（这就是所谓的肉鸡），到时警察跨省来找的是你。

　　结论只有一个，WiFi万能钥匙干得分明就是一种流氓行为。但是，为什么那么多国人骂360，却放任这种软件耍流氓呢？

　　总之，不要再把网络安全当儿戏。等到真被黑了，财产损失了，你就只能指望警察叔叔破案了，呵呵。

　　关于Wi-Fi安全的一些建议

　　1、不要轻易分享你的Wi-Fi给任何人，尤其是那些装有类似软件的手机或其他移动设备；

　　2、不要轻易连接陌生的Wi-Fi网络，尤其是那些没有密码的，包括公共Wi-Fi，并且切忌不要用这个Wi-Fi网购和进行任何涉及财产安全的操作；

　　3、定期修改三码：Wi-Fi密码、PIN码（可重新生成，无用时最好关闭WPS）、Web后台登录密码；

--------------------- 这样设置你的路由：99.9%的黑客都攻不破 ---------------------
--------------------- 教程&技巧：怎样去设置一个“完美”密码 ---------------------

　　4、关闭SSID广播。不要用“隐藏SSID”这类功能，那是给小白看的。有网友提出这样一个主意也是可行的：创建一个公开的Guest SSID，也就是我们所说的客人网络（路由上也叫多“SSID”），专门给客人用。内网隔离，有必要的话可以加QoS，这样起码可以确保自己的主SSID不会被无意分享出去；

　　5、MAC地址绑定以及各种路由安全设置、策略能上就上。这3、4、5在路由后台都可以自己设置，一点也不复杂，就看你上不上心了；

　　6、劝导别人卸载此类Wi-Fi软件；

　　7、记住庄子的那句名言：谨慎能捕千秋蝉，小心驶得万年船——我们虽然不能保障自己的网络100%安全，却可以做到预防隐患，降低风险；

　　8、把这篇文章分享出去让更多人知道。

　　其实，就算不去刨根问底，没有以上分析，相信稍微有一点安全意识的朋友也知道这么一个道理——世上没有免费的午餐。