沪穗深百万地铁族担心:花生WiFi到底安全吗?

3月27日开始,一则知乎网帖在微信朋友圈里刷爆,该帖透露上海花生地铁WiFi不但抓取用户的位置信息,还能获取手机里的任意文件内容、安装的所有App名称以及粗略的家庭与工作地址等信息,甚至在特定情况下还有可能获取用户提交的敏感信息,比如银行卡号码等。

多位权威信息安全专家向《IT时报》记者表示,如果网帖内容属实,则花生地铁WiFi确实存在过度收集信息的嫌疑。3月29日,《IT时报》记者向花生地铁WiFi官方求证,但并未收到回复。

3月30日,截至记者发稿前,花生地铁WiFi运营方召开新闻通气会称, 文中存在大量失实描述及常识性错误,花生地铁在无线方面遵守国家工信部、安全方面遵守国家*部的有关规定。

一条刷爆微信群的知乎帖

就在几天之前,一篇名为《上海旁友!请远离“花生地铁”免费WiFi,被卖了都不知道!》的微信公众号文章在微信朋友圈里火爆刷屏,公号名为“上海名大夫”,文章内容来源于知乎网帖——网友提问:“上海的‘花生地铁’WiFi盈利模式是什么?”,一位知乎网友利用图文数据表明,花生地铁WiFi通过App接入上网的方式,不但抓取用户的站点位置信息,还能获取用户手机里已保存的网络名、手机网卡MAC地址、用户的进出站点信息、手机里的任意文件内容以及安装的所有App名称。

此外,该帖还表示,花生地铁WiFi有可能利用App向其他互联网公司上传用户手机内的信息,以作商业用途。

针对这条网帖,《IT时报》记者用安卓系统手机专门下载了花生地铁WiFi的App,发现在安装过程中,会有“是否允许花生地铁WiFi读取短信、彩信、位置信息、已安装应用列表”等提示,用户可以选择禁止或允许,并提示可以在手机管家等权限管理中配置权限。

花生地铁WiFi到底安全吗?

就在该帖火热刷屏之际,上海市民孙女士也向记者反映了她第一次使用花生地铁WiFi的经历,当时她按照显示步骤进入上网页面,网页出现是否信任该链接的提示,当孙女士点击“信任”链接时,她的手机马上出现黑屏死机现象。由于该手机绑定了银行卡、支付宝和微信,涉及金额高达好几万,当时她十分恐慌,担心钱财被骗走。

孙女士至今心有余悸地说:“我怀疑是不是花生地铁WiFi的链接植入了木马病毒,当时我急得一身冷汗,人都在发抖,为什么会在点击信任的那一瞬间手机就出现了故障。”

《IT时报》记者随机采访了几位地铁乘客,多位乘客表示,“平时一直用花生WiFi,觉得挺好,地铁很多站点根本没手机信号,想上网一定得靠它。”同时,也有乘客表示,“如果存在泄露个人隐私的情况,那么自己很难接受,希望安全专家和花生WiFi官方能给个说法。”

信息安全专家吕礼胜分析表示,很难判定孙女士手机的故障是由花生地铁WiFi导致,有可能和App自身的兼容性相关。从技术上来说手机系统自身已经支持WiFi连接协议,并不需要第三方App。加入第三方App主要目的就是为了收集用户手机上的信息,而这些信息收集的种类取决于手机系统允许App安装时获取的权限。Android比较开放,获取的权限就较多,能被收集的信息种类也比较多,而苹果手机比较封闭,能收集到的信息就会相对较少。

另一名信息安全专家金龙则明确表示:“如果知乎网帖所描述情况属实,那么花生地铁WiFi确实过度收集用户隐私信息。”

信息抓取的边界在哪?

公开信息显示,花生地铁WiFi是由深圳南方银谷公司建设并运营的免费地铁WiFi,2014年底在上海试运营一直发展至今,目前已在十二条上海地铁线路完成WiFi建设。数据显示,仅在上海接入用户量已经超过300万,另外,广州、深圳等城市地铁也均已完成覆盖。业内人士表示,由于公共WiFi没有资本支撑,目前盈利状况堪忧,对于公共WiFi来说,大数据收集或许是一个有效出路。

花生地铁WiFi官方也曾透露,目前他们可掌握使用用户的年龄、性别、位置信息、婚姻信息、消费习惯等大数据,日后将有能力提供有价值的数据服务。

王俊(化名)在一家科技公司从事网络安全工作,他认为,从商家经营的角度看,既然花生地铁提供免费WiFi自然就会考虑企业的盈利模式,为了确保精准营销,提供个性化服务,这类公共WiFi抓取更多用户信息,形成大数据应用就有天然的需求。王俊对《IT时报》记者表示:“据我观察,花生地铁WiFi传送的数据都已进行了加密,理论上来说不会被人截取,即使被截取了也是一堆密文,没有什么用。”

信息安全专家朱易翔表示:“如果花生地铁WiFi可以抓取用户手机上安装的所有App名称,那么确实存在过度收集用户信息的嫌疑,但仍不好判断其恶意程度。”而对于App采集用户信息的边界范畴,他认为需要根据具体的法律法规标准和App的应用方向来判断,他举例说,如果是与天气相关的App却要抓取用户的通信信息,这就属于过度收集,因为这不是这款应用的必须信息。“但最为关键是App在下载安装时,应该告知用户将抓取哪些信息,又将对信息进行怎样的处理,这个知情权应该给予用户。”朱易翔强调。

专家建议:少用免费公共WiFi

公共WiFi抓取用户隐私信息并非新鲜话题。

王俊表示,现在很多免费公共WiFi存在安全隐患,他提醒普通用户,在上海各大商业地标有一个i-Shanghai的ssid可以免费上网,这是正规和安全的,但个别黑客通过改变字母大小写等不被注意的手段,搭建如i-shanghai、i-shangHai或i-ShangHai等名字的钓鱼WiFi网络,诱骗用户登录,用户连上后,所有信息都可能瞬间暴露。王俊建议,普通用户应该尽量少用免费公共WiFi,尤其是不加密的需要特别注意。

吕礼胜则提醒用户,使用相关服务前看看有没有隐私条款,是否和自己的隐私保护要求存在冲突,如果要进行购物支付、网银等高风险的操作,建议使用4G网络,而不是免费公共WiFi。

金龙则直接表示,目前普通用户的信息安全防范意识还偏低,他认为“免费的往往是最贵的”,如果没有特别需求,不建议使用免费公共WiFi。

本文转自d1net(转载)

上一篇:Apache+varnish(高性能开源HTTP加速器)搭建负载均衡集群


下一篇:烂泥:更换ESXI5.0管理网卡及管理IP地址