关键在于后台要有监控机制和防御手段，任何人进入都要能够被“侦查”到

日前，央视《经济半小时》报道, 当用户下载使用两款免费软件wifi万能钥匙（由上海连尚网络科技有限公司开发运营）和wifi钥匙（由厦门众联世纪科技有限公司开发运营）时,“手机就成了流动间谍，窥探这部手机周边所有的Wi-Fi信息。”

可以提供免费上网的软件，是否会带来信息安全问题？解放日报·上观新闻记者采访了复旦大学网络空间治理研究中心副主任沈逸和上海交大网络空间安全学院院长李建华。

“是热点共享，不是破解密码”

对于公众关心的“破解WiFi密码”一事，上海连尚网络科技有限公司称有必要澄清“WiFi万能钥匙的运行原理是热点共享，不是破解，是通过WiFi热点资源共享的方式。”

上海连尚网络科技有限公司发表声明说，WiFi万能钥匙对密码采用128位非对称加密，从不明文显示密码。央视报道中提及的密码查看功能，是厦门某企业的产品“WiFi钥匙”提供，且此功能需要通过第三方root工具，获取系统管理权限后才可使用。声明强调，“WiFi钥匙”并不是该公司产品，该企业与上海连尚网络科技有限公司也无任何关联。节目中出现可明文显示密码的均为模仿WiFi万能钥匙的山寨产品，近两年来经过公司举报而下架的该类山寨软件有1669个。

声明还提到，“获取的用户信息均在国家法律法规允许的范围内，还须经过用户同意，并且所获取数据只限于提升用户体验。我们为每一位用户提供了免费的WiFi安全险，一旦用户或热点主人因为使用WiFi万能钥匙遭遇财产损失，均可进行索赔。WiFi万能钥匙是中国网络安全产业联盟首批成员，并通过了国家信息安全等级保护三级标准验收。”

据介绍，上海连尚网络科技有限公司已成立专门工作小组，将继续优化现有产品的流程。“我们一直强调由WiFi热点主人分享热点，并加大查处非热点主人进行分享的力度，也将进一步优化热点分享的取消流程，保护热点主人权益。WiFi万能钥匙热点主人版自推出以来，已经为热点主人提供价值超过10亿元的回报。”

如果不是热点合法主人可能带来隐患

“如果不妥善管理维护，这些软件可能为原来无利可图的wifi密码破解行为提供了一种潜在的盈利模式。”复旦大学网络空间治理研究中心副主任沈逸说，WiFi万能钥匙软件的一大功能，是用户可分享已知的Wi-Fi热点信息，也可使用万能钥匙获取其他用户分享的热点信息。这里用户不仅共享了wifi热点信息，其实也共享了接入密码。从WiFi万能钥匙的声明来看，已经为热点主人提供了价值超过10亿元的回报。那么问题来了——如果某用户不是热点的合法主人，而是通过黑客攻击获取了密码呢？理论上，黑客完全可以攻克多个wifi密码，再通过热点共享来牟利。WiFi万能钥匙尽管不是窃取密码的“小偷”，但客观上却可能成就了“销赃”。公司声明中“通过了国家信息安全等级保护三级标准验收”，只能说明其自身系统是安全的，但它无法第一时间核实这是否为热点主人进行的分享。

“如果未经授权使用热点和采集用户信息，从原则上来说是侵犯隐私。如果已和热点主人有过协议，建议向民众部分公开这些协议，这也是消除大家的担忧。”上海交大网络空间安全学院院长李建华说，即使授权使用，也要遵从法律约束。作为消费者来说，当然欢迎无所不在的高效的网络接入服务。但从法律上来讲，任何行为都不能游走在法律边缘，因为安全是基石。我国去年6月1日起施行《中华人民共和国网络安全法》，其中规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。”

连接免费Wifi的安全系数到底有多高

如今，人们在单位、商场里经常连接免费Wifi，这种连接的安全系数有多高呢？“现有的8位或10位数wifi密码，其实都是一种弱口令，通过暴力破解，在技术上并没有什么难度。”李建华说。

沈逸介绍，这是由wifi本身的安全机制所决定的。如果不设密码，肯定不安全，但设置了密码，也不一定安全。任何Wifi涉及到三段，前端是本地的一个机器，中端提供wifi的热点，后端是无线信号，只有三个环节都安全，Wifi才是安全的。我们可以在路由器和用户的手机客户端设置密码，但无线信号是很容易被拦截的。因此从技术上说，确实不安全。更大的隐患在于，如果通过暴力破解了路由器密码，那么通过这台路由器上网的都有可能被拦截，包括银行卡信息等。如果家里按照了摄像头，危害就更深了。因此，关键在于后台要有监控机制和防御手段，任何人进入都要能够被“侦查”到。否则，这对于城市的信息化建设来说，就存在着安全隐患。

通过免费上网软件是否增加了用户的安全风险呢？沈逸说，如果用户接收到的广告都是一样的，还问题不大，如果是个性化的广告，就说明你在上网的时候，有人也正在研究你。他建议大家不妨研究一下用户授权协议，要特别警惕那些模棱两可的表述。沈逸提到，微软也推出过一个outlook的共享，“这并不安全。如果我的朋友信息被窃取，我再和他共享，我的信息也会被泄露。”沈逸认为，这类有具体场景的网络安全问题才是迫切需要法规去解决的问题。现行的网络安全法规过于粗放，铺就了一张网，但洞眼太大，容易造成漏网之鱼。

  “黑客想要隔空取物也不是那么容易，我们不要自己把防盗门打开了。”沈逸提醒，别贪小便宜，平时要选择安全系数高的支付方式，不要在网络上“瞎逛”，更不要莫名其妙去“翻墙”。政府要加大监管企业力度，确保只有热点的合法主人才能共享，一旦发现风险用户，可以第一时间取消对其的热点分享。

李建华呼吁，网络安全事关全社会，政府既要推动网络安全法规的细化，也要加强执法力度。民众要提升网络安全防范意识，媒体也要做好宣传工作。