从安全角度谈谈,为什么小米WiFi密码分享需要停止

小米的WiFi共享功能刚发布两天就被叫停,但是相关讨论主要集中在网络使用权上,但除了使用权其中还有不少安全问题。本文简单探讨了下WiFi密码共享的安全问题,WiFi安全并不只是连接密码的问题。

WiFi安全

本文为钛媒体独家专栏【叶问IT】系列

 

9月5日小米发布了其新一代的旗舰机型——小米3。其中提到了一项颇具争议的功能:WiFi密码共享。此项功能在发布后仅仅2天后便在舆论压力下夭折。

在各种对小米的声讨中,最多的的讨论当然是很多人不高兴自己的WiFi被人共享——即使是公共场所的WiFi。不过抛开网络独占这种心理因素,由于普通用户对WiFi安全意识比较弱,共享WiFi可能带来很多安全问题。

其实从WiFi诞生起,其安全问题就一直饱受诟病。

最初的WiFi标准主要采用WEP方式加密,而WEP被证明是一种很不安全的加密方式,可以被轻易破解。

早年间的WiFi标准也因为安全原因被工信部拒绝,而强制国内无线设备使用自有标准WAPI。不过后来随着技术的发展,WiFi的加密手段不断完善,而且生态已经形成,2009年6月工信部终于放行WiFi设备销售。当然现在WEP加密已经基本被抛弃。所有新的无线路由器默认的加密方式都已经使用更加安全的标准。

WiFi标准放行后,随着笔记本电脑和智能手机的流行,WiF几乎成了所有移动设备的标准网络接入方式。现在当你到一个地方的第一件事情估计就是找WiFi问密码了。

从这点上来说,小米推出的WiFi密码共享,确实可以为现代人的生活提供很多方便,WiFi已经几乎成了现代人的钢需。不过直接云共享WiFi密码可能造成重大的安全问题。

对于简单使用来说,一般的消费者最常见的使用方式是买来无线路由器,然后设个连接密码就完事了。这在你自己小范围使用的时候并没有什么问题,但当你把密码共享出去的时候可能就没那么安全了。

我们来看看之前小米WiFi密码共享如何实现的:

小米WIFI共享

首先在连接无线网络时候选择 “互助分享这个网络密码”,当然你不选择是不会分享的。

如果你分享了一个无线网络,那其他支持网络共享的小米手机如果搜索到该网络的信号就可以直接连接你分享的这个网络了。

而当你通过共享连接到相应网络时,你可以通过二维码把这个网络再次分享给其他人。其界面如下:

小米WiFi二维码共享

你可以用小米的摄像头扫描就可以直接连接。除此这外你也可以用普通的二维码识别软件读取,此时这个被共享的WiFi网络的信息及会被显示出来,笔者用QR Droid实验后如下:

二维码识别内容

这里大家可以看到,小米的共享的二维码并没有使用任何的加密手段,被共享的密码直接被明文显示出来。

对于公共WiFi的密码,明文显示并没有太多问题,但是对于个人来说,很多人为了图方便,很多地方喜欢用一样的密码,那可能就会有问题了。

除了明文密码,共享WiFi密码还可能带来其他安全问题。

一般用户在设置新的路由器的时候,大多数时候只会设置连接密码,而很少会去更改路由器配置密码。如果熟悉路由器配置,你应该知道大多数的路由器的配置账户和密码都是“admin”。

当你连接到一个无线路由器时,如果配置这没有修改配置密码,那么你在浏览器里面输入192.168.1.1,然后用常用的默认账户和密码一试就可以进入配置界面了。这个配置界面有着路由器最高的控制权限,几乎可以控制路由器做任何事情,包括刷路由器固件。

路由器的固件其实就是路由器的操作系统,固件掌管了路由器的所有行为。很多硬件发烧友们可能都玩过一些开放固件比如DD-WRT,这些固件是基于Linux开发的,如果黑客们愿意,通过加入相应的监控模块,可以通过刷入三方固件完全监控一个被共享密码的路由器。这时候,所有通过该路由器的数据都可以被监控。

除了监控,控制了路由器还可以干很多很多的事情,比如把你的首页解析到广告网站(美其名曰导航站)之类,做这事都不需要刷路由器固件,只要更改DNS就可以实现了。这样的事,对于想象力比我丰富的多的中国黑客们想象空间太大了。

如果你共享里你自己的路由器密码,然后你又比较懒没有改配置密码的话,在共享路由器密码的帮助下,以上所描述的攻击手段非常容易实现。当然解决的办法就是设置一个强度很大的配置密码并记住它,这样即使被不认识的人连接也不怕了。

我相信小米的WiFi共享的初衷是好的,但WiFi密码共享无论从网络使用权的角度还是安全的角度来看,都有太多太多的问题没有解决,贸然上线这项功能有太多的不确性。

虽然小米WiFi共享功能已经停止了,但这并不是说你的路由器就安全了。对于无线网络,除了设置连接密码,你的路由器设置密码重新设置了吗?如果你不嫌麻烦,再来个MAC限制那就更好了!

本文系作者 叶元 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本内容来源于钛媒体钛度号,文章内容仅供参考、交流、学习,不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
  • 不分享就可以了,这个功能倒也不怕

    回复 2013.09.09 · via pc
  • 共享本来就是你情我愿 显示密码方便小白 世间的东西产生本来就有利弊 对此有争议叫小米设置个开关就好 显示让别人看到密码打勾或者取消就完事 给小米做个推荐建议就行 不必大费周章

    回复 2015.05.31 · via pc

快报

更多

2024-12-25 23:00

大商所、郑商所夜盘收盘,PTA跌超1%

2024-12-25 22:51

国家电投集团年发电量创历史最好水平,超7000亿千瓦时

2024-12-25 22:46

涪陵榨菜谈调价:今年主力产品价格未有调整,榨菜酱产品降价

2024-12-25 22:35

刘建超会见日本外相岩屋毅

2024-12-25 22:29

提示:美股今日休市

2024-12-25 22:27

中房协发起“迎新年购房安家活动”倡议

2024-12-25 22:21

北大医药:公司实际控制人变更为徐晰人

2024-12-25 22:21

农业农村部举办人工智能专题报告会

2024-12-25 22:11

近30家企业参与,储能行业将召开防止内卷式竞争闭门研讨会

2024-12-25 22:10

北京市大兴区挂牌两宗地块,起始价23.2亿元

2024-12-25 21:56

深圳个人养老金定存利率:大型商业银行在2%左右,养老保险产品综合收益可到3.9%

2024-12-25 21:47

全国首个“低空+高铁”跨城联运场景在杭州投运

2024-12-25 21:28

通义千问发布业界首个开源多模态推理模型QVQ-72B-Preview

2024-12-25 21:25

《中华人民共和国增值税法》全文公布:销售不动产税率为百分之九

2024-12-25 21:19

*ST卓朗:收到上交所拟终止公司股票上市事先告知书

2024-12-25 21:18

理想汽车会做人形机器人吗?李想:100%会做,但不是现在

2024-12-25 21:07

万安科技:实控人拟减持不超3%股份

2024-12-25 21:06

专家解读专项债券管理新政:可减少在途时间,避免“资金等项目”

2024-12-25 21:05

岭南股份:可转债偿付方案正加快制定,并尽量调动多方资源推进催收工作

2024-12-25 21:02

韩国加密资产市场迅猛发展,日均交易额逼近股市

2

扫描下载App