在中国,有96%的路由器假装有密码

和黑猫之家聊聊?

如果你最近留意,可能会在朋友圈见到这样的文章:央视都曝光了!WiFi万能钥匙盗取用户网络密码,快来看看吧!

这绝不是标题党文章,这次真的是被央视《经济半小时》报道了,其实关于Wifi钥匙共享用户密码的争议从来就不是什么新鲜事,早在2014年就有此类报道。

然而如今,这款诞生之初就争议缠身的产品现已2017年全球app活跃榜15位

在中国,有96%的路由器假装有密码 骚操作 第1张

2017年全球app活跃榜

这些年来,wifi万能钥匙的装机量不断刷新纪录,而带有wifi功能的路由无线路由器早已飞入寻常百姓家。

在中国,有96%的路由器假装有密码 骚操作 第2张

日下载量200万

裸奔的路由器

从 WiFi 万能钥匙的工作原理可知,WiFi 路由器设备越多,WiFi 万能钥匙理论上能“破解”的 WiFi 密码就越多,就会有越多的用户去使用,被分享的 WiFi 密码就越多,从而形成正向循环。对于 WiFi 万能钥匙产品方来说,他们获得了大量用户。而对于我们用户来说,获得了大批“裸奔”在外的 WiFi 路由器。也许你会觉得小编在危言耸听,那我们今天就实战演练下,无需任何黑客工具,只需要 WiFi 万能钥匙加上微信扫一扫功能,能对一台共享过 WiFi 密码的路由器做些什么?

小编在家打开 WiFi 万能钥匙扫描,发现周边就有 4个邻居的热点可以直接连接,毫无疑问,他们是wifi万能钥匙的用户。

在中国,有96%的路由器假装有密码 骚操作 第3张

选择一个信号最高的连接

选一个连接,没问题,很快就能连接上,这个热点已经保存下来,下次可以直接登录。

注意,前方高能!

如果你用的是安卓系统手机,你会发现有一张二维码已经保存在你的手机上了,接下来让我们用微信扫一扫,看看会发生什么。

在中国,有96%的路由器假装有密码 骚操作 第4张

神奇二维码

so easy,这个wifi明文密码已经被我们获取了,并且还意外收获邻居的手机号。

在中国,有96%的路由器假装有密码 骚操作 第5张

意外收获邻居手机号

这时候我们可以通过刚刚获取到的路由器信息来获取邻居路由器的全部管理权限,其中操作对任何一个人来说都毫无难度。如果我愿意,我可以对这台路由器为所欲为。虽然黑哥没有太多的黑客技术,但对邻居的网络限个速,改个密码之类的还是绰绰有余。这简直就像一位玉体横陈的美女躺在你面前,没有一点点防备。

据金山毒霸安全中心发布的《2014年上半年无线路由器及WiFi安全研究报告》数据显示:高达 60% 的网民使用默认密码登录路由器后台,如admin、root 等,大约 36% 的网民使用的是弱密码,一般为有规律的键位分布或数字字母序列,如“12345678”、“88888888”“手机号”等。

在中国,有96%的路由器假装有密码 骚操作 第6张

也就是说,在中国总计有 96% 的路由器密码几乎形同虚设

在中国,有96%的路由器假装有密码 骚操作 第7张

即使是用户修改过初始管理密码,只要有个靠谱的密码字典本,有台配置不错的电脑,那些可能在你看来已经设置得连自己都记不住的密码,在暴力破解面前,只有一个词:简单!

不要以为暴力破解会花很长时间,来看看这张 2006 年发布的表格——

在中国,有96%的路由器假装有密码 骚操作 第8张

破解一个最常见的 8 位数字密码在 2006 年需要 348 分钟,那么在 2018 年需要多长时间呢?

只需 0.4 秒钟!

这是由国际知名网络完全机构 SplashData 在 2017 年 12 月公布的最新数据。

小编登录一个网站,专用于测试你的密码被一台普通配置的电脑攻破需要多长时间。我测试了一个 8 位纯数字密码,显示结果如下——

在中国,有96%的路由器假装有密码 骚操作 第9张

可见测试结果还是具有一定参考价值的。

这个站点的源代码和官方的 HSIMP jQuery 插件可以在 GitHub 上找到,并且在输入测试时是脱机页面,如果你还是不够放心,大可以断网进行测试。

现在你知道了你的密码到底有多不安全了吧?好,我们继续。

那么,当一个训练有素的黑客面对一台已经共享 WiFi 密码的路由器,他能干些什么?

知乎上有位用户 Evi1m0 ,写了一篇在攻破隔壁女神家的路由器之后的故事。他不仅通过将个性化域名地址和获取到信息加以组合,从而获取到了女神的微博、微信、QQ、手机号、照片、各种社交资料。

在中国,有96%的路由器假装有密码 骚操作 第10张

图片来源:知乎日报

在中国,有96%的路由器假装有密码 骚操作 第11张

通过数据监听和劫持,还可以用女神的微博账号发步微博,甚至远程控制女神家的电视盒子播放爱情动作片。

在中国,有96%的路由器假装有密码 骚操作 第12张

图片来源:知乎日报

事实上,由于 WiFi 网络的开放性和基于明文的网络协议,从 TCP/IP 到 HTTP 都是明文数据,这意味着数据很容易被“监听”,也很容易被“伪造”。监听的危害主要体现在隐私的安全上——

对方登陆录何网站,我都能同时登入。其一举一动,我全部能看到。”刘彦硕(知乎网友 Evi1m0)告诉记者,虽然无法看到对方的账号、密码,但是他能劫持已登录的账户。(来源:重庆晚报)

然而,其中的风险远不止于此, 数据“伪造”的危害更可怕。

通过一台已经被攻破的路由器上网,购物或者登陆网银,你虽然输入的是官网地址,黑客可以通过 ARP 欺骗或 DNS 欺骗,将网页跳转到假支付宝或假银行网站,诱导你下载病毒木马,严重威胁到我们的财产安全。

在中国,有96%的路由器假装有密码 骚操作 第13张

所以,在一台裸奔的路由器上网,不只是你的照片、小电影有危险,你的支付宝、网银都岌岌可危。

而这一切,对于那些别有用心的人来说,真的不是能不能的问题,只是想不想的问题。

当然,造成这些路由器假装有密码的锅不应该让 WiFi 万能钥匙全部来背,毕竟用户安全意识不强也是主要原因。但,如果没有 WiFi 万能钥匙共享的这些密码,将会大大降低路由器被“蹭网”的几率,从物理上无法连接 WiFi,又谈何攻破路由器呢?

所以说到底还是要靠自己,到底如何提高自家路由器的安全性?拒绝裸奔。


黑猫之家

来黑猫之家看看呗

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright © 2015-2018 黑猫吧(www.heimaoba.cn) 赣ICP备18005425号-1