沪穗深百万地铁族担心：花生WiFi到底安全吗？

3月27日开始，一则知乎网帖在微信朋友圈里刷爆，该帖透露上海花生地铁WiFi不但抓取用户的位置信息，还能获取手机里的任意文件内容、安装的所有App名称以及粗略的家庭与工作地址等信息，甚至在特定情况下还有可能获取用户提交的敏感信息，比如银行卡号码等。

多位权威信息安全专家向《IT时报》记者表示，如果网帖内容属实，则花生地铁WiFi确实存在过度收集信息的嫌疑。3月29日，《IT时报》记者向花生地铁WiFi官方求证，但并未收到回复。

3月30日，截至记者发稿前，花生地铁WiFi运营方召开新闻通气会称， 文中存在大量失实描述及常识性错误，花生地铁在无线方面遵守国家工信部、安全方面遵守国家公安部的有关规定。

一条刷爆微信群的知乎帖

就在几天之前，一篇名为《上海旁友！请远离“花生地铁”免费WiFi，被卖了都不知道！》的微信公众号文章在微信朋友圈里火爆刷屏，公号名为“上海名大夫”，文章内容来源于知乎网帖——网友提问：“上海的‘花生地铁’WiFi盈利模式是什么？”，一位知乎网友利用图文数据表明，花生地铁WiFi通过App接入上网的方式，不但抓取用户的站点位置信息，还能获取用户手机里已保存的网络名、手机网卡MAC地址、用户的进出站点信息、手机里的任意文件内容以及安装的所有App名称。

此外，该帖还表示，花生地铁WiFi有可能利用App向其他互联网公司上传用户手机内的信息，以作商业用途。

针对这条网帖，《IT时报》记者用安卓系统手机专门下载了花生地铁WiFi的App，发现在安装过程中，会有“是否允许花生地铁WiFi读取短信、彩信、位置信息、已安装应用列表”等提示，用户可以选择禁止或允许，并提示可以在手机管家等权限管理中配置权限。

花生地铁WiFi到底安全吗？

就在该帖火热刷屏之际，上海市民孙女士也向记者反映了她第一次使用花生地铁WiFi的经历，当时她按照显示步骤进入上网页面，网页出现是否信任该链接的提示，当孙女士点击“信任”链接时，她的手机马上出现黑屏死机现象。由于该手机绑定了银行卡、支付宝和微信，涉及金额高达好几万，当时她十分恐慌，担心钱财被骗走。

孙女士至今心有余悸地说：“我怀疑是不是花生地铁WiFi的链接植入了木马病毒，当时我急得一身冷汗，人都在发抖，为什么会在点击信任的那一瞬间手机就出现了故障。”

《IT时报》记者随机采访了几位地铁乘客，多位乘客表示，“平时一直用花生WiFi，觉得挺好，地铁很多站点根本没手机信号，想上网一定得靠它。”同时，也有乘客表示，“如果存在泄露个人隐私的情况，那么自己很难接受，希望安全专家和花生WiFi官方能给个说法。”

信息安全专家吕礼胜分析表示，很难判定孙女士手机的故障是由花生地铁WiFi导致，有可能和App自身的兼容性相关。从技术上来说手机系统自身已经支持WiFi连接协议，并不需要第三方App。加入第三方App主要目的就是为了收集用户手机上的信息，而这些信息收集的种类取决于手机系统允许App安装时获取的权限。Android比较开放，获取的权限就较多，能被收集的信息种类也比较多，而苹果手机比较封闭，能收集到的信息就会相对较少。

另一名信息安全专家金龙则明确表示：“如果知乎网帖所描述情况属实，那么花生地铁WiFi确实过度收集用户隐私信息。”

信息抓取的边界在哪？

公开信息显示，花生地铁WiFi是由深圳南方银谷公司建设并运营的免费地铁WiFi，2014年底在上海试运营一直发展至今，目前已在十二条上海地铁线路完成WiFi建设。数据显示，仅在上海接入用户量已经超过300万，另外，广州、深圳等城市地铁也均已完成覆盖。业内人士表示，由于公共WiFi没有资本支撑，目前盈利状况堪忧，对于公共WiFi来说，大数据收集或许是一个有效出路。

花生地铁WiFi官方也曾透露，目前他们可掌握使用用户的年龄、性别、位置信息、婚姻信息、消费习惯等大数据，日后将有能力提供有价值的数据服务。

王俊（化名）在一家科技公司从事网络安全工作，他认为，从商家经营的角度看，既然花生地铁提供免费WiFi自然就会考虑企业的盈利模式，为了确保精准营销，提供个性化服务，这类公共WiFi抓取更多用户信息，形成大数据应用就有天然的需求。王俊对《IT时报》记者表示：“据我观察，花生地铁WiFi传送的数据都已进行了加密，理论上来说不会被人截取，即使被截取了也是一堆密文，没有什么用。”

信息安全专家朱易翔表示：“如果花生地铁WiFi可以抓取用户手机上安装的所有App名称，那么确实存在过度收集用户信息的嫌疑，但仍不好判断其恶意程度。”而对于App采集用户信息的边界范畴，他认为需要根据具体的法律法规标准和App的应用方向来判断，他举例说，如果是与天气相关的App却要抓取用户的通信信息，这就属于过度收集，因为这不是这款应用的必须信息。“但最为关键是App在下载安装时，应该告知用户将抓取哪些信息，又将对信息进行怎样的处理，这个知情权应该给予用户。”朱易翔强调。

专家建议：少用免费公共WiFi

公共WiFi抓取用户隐私信息并非新鲜话题。

王俊表示，现在很多免费公共WiFi存在安全隐患，他提醒普通用户，在上海各大商业地标有一个i-Shanghai的ssid可以免费上网，这是正规和安全的，但个别黑客通过改变字母大小写等不被注意的手段，搭建如i-shanghai、i-shangHai或i-ShangHai等名字的钓鱼WiFi网络，诱骗用户登录，用户连上后，所有信息都可能瞬间暴露。王俊建议，普通用户应该尽量少用免费公共WiFi，尤其是不加密的需要特别注意。

吕礼胜则提醒用户，使用相关服务前看看有没有隐私条款，是否和自己的隐私保护要求存在冲突，如果要进行购物支付、网银等高风险的操作，建议使用4G网络，而不是免费公共WiFi。

金龙则直接表示，目前普通用户的信息安全防范意识还偏低，他认为“免费的往往是最贵的”，如果没有特别需求，不建议使用免费公共WiFi。

本文转自d1net（转载）