答复~安全问题：ssid和密码等信息，是如何存储于手机等智能设备

newkit

求科普。

手机本身我不担心的，有后门又咋滴？几千万上亿人在用，我是普通屁民，根本不是后门的目标。如果是一个村子被山贼环伺内鬼配合，那注定遭殃；但如果是上海市，那轮到你就是概率事件，抢也抢不过来。担心这个毫无意义的。

但我有点担心第三方app。比如我用某款wifi分析仪app，它居然要求定位权限。事后我想，会否存在这样的可能：收集你的手机mac、wifi的ssid和密码等信息，结合定位，提供给万能wifi之类的其他app，用于营利？

这就涉及一个问题，手机是以何种格式保存你的各种密码的？是明文还是加密的？能否被其他app获取？

还有：
1.比如小米手机，可以通过扫二维码的方式，给别人分享ssid和密码的。这说明什么，有何隐患？
2.各类智能家居设备接入wifi后，也存有ssid和密码，如果设备丢失，能否被别人获取（比如ttl读取）

谢谢各位指教先！


【总结】
0.定位权限的问题，应该属于正常。android 8.0及以上版本均需要位置权限，这是因为安卓系统把获取wifi名称的权限归入位置权限分组了，不给权限无法拿到wifi名称列表。（此处还有一个延伸问题，互联网下无隐私。其实包括网络运营商、谷歌、手机厂家在内，都在收集你wifi的地理位置，否则wifi定位就无法实现）

2.（感谢yhky）扫二维码分享wifi，大多数国产的某OS某UI都支持，不过是通过系统读取保存的ssid和psk，这个功能是比较安全的。

3.（感谢风铃夜思雨、bearxu、yhky等）安卓手机的wifi配置文件通常存放在/data/misc/wifi/wpa_supplicant.conf，明文保存ssid和psk，需要获取root才能访问读取取这个文件，普通app无权读取，相当于加密了。

4.智能家居，我和各位的意见一样，认为它们是个黑箱。但现在很能完全不去使用。除了注意保管设备，密码外，我上边也给出观点，尽量买市占率大的产品。

高级会员

这是明摆着的，收集个人用户的WIFI热点，某天某用户正好走到你那想上网咋办？咚~弹出个免费WIFI广告，你一连上，咚~弹出个广告，欲连WIFI先看广告。这就叫互联网思维，你的是我的，你们的还是我的。:lol:

newkit

高级会员 发表于 2020-12-11 16:57
这是明摆着的，收集个人用户的WIFI热点，某天某用户正好走到你那想上网咋办？咚~弹出个免费WIFI广告，你一 ...

果然。那么手机存的密码不止这些啊。真的全是明文，这么容易获取？

高级会员

newkit 发表于 2020-12-11 16:59
果然。那么手机存的密码不止这些啊。真的全是明文，这么容易获取？

在空中是加密的，到你手机里本来就就不需要加密了。

风铃夜思雨

明文储存，  安卓有ROOT权限可以直接打开看
路径一般位于   /data/misc/wifi/wpa_supplicant.conf

newkit

高级会员 发表于 2020-12-11 17:01
在空中是加密的，到你手机里本来就就不需要加密了。

那手机里存的密码太多了，支付宝，网银之类的。。。那压根就不能安装任何第三方app啊，话说我安装的还是手机应用市场认证的。。。

xueyuking

现在正规的手机厂家，都是加密保存的。但一些APP就不好说了，看作者有没有处理了。如果有去研究的话，加密的也是可以被解密的。智能设备如果熟悉数据保存在那里，肯定是可以得到的，就是看划不划算了。像我们普通老百姓，谁会费那么大劲来搞你，特殊单位的话，这类设备都有正规的销毁方式。像我们公司，之前报废电脑，就是把内存条，硬盘全部破坏粉碎。

newkit

xueyuking 发表于 2020-12-11 17:08
现在正规的手机厂家，都是加密保存的。但一些APP就不好说了，看作者有没有处理了。如果有去研究的话，加密 ...

内存条也粉碎？rom啊

bearxu

ssid 密码存储在手机一个文件里，不加密的，我看过
只不过读取这个文件需要root权限，普通app无权查看

newkit

风铃夜思雨 发表于 2020-12-11 17:02
明文储存，  安卓有ROOT权限可以直接打开看
路径一般位于   /data/misc/wifi/wpa_supplicant.conf ...

哦哦。那相当于加密了。root可不是那么容易获取的吧，尤其是第三方

newkit

bearxu 发表于 2020-12-11 17:23
ssid 密码存储在手机一个文件里，不加密的，我看过
只不过读取这个文件需要root权限，普通app无权查看 ...

多谢指教！也就是说我所认为的、或者2楼说的情况，并不容易发生，是吧？

可是这个wifi分析app每次要我开定位，是什么意思？处于什么考虑

yhky

扫二维码分享wifi，大多数国产的某OS某UI都支持，不过是通过系统读取保存的ssid和psk，这个功能是比较安全的。安卓手机的wifi配置文件通常存放在/data/misc/wifi/wpa_supplicant.conf，明文保存ssid和psk，需要获取root才能访问读取取这个文件，普通app无权读取，这个也比较安全。至于智能家居，接入wifi以后会干啥，它们的通信是否安全，是否容易被黑然后攻击局域网其它设备，这个就很难说了，我宁愿用传统的开关按钮或者红外遥控进行操作，不让家居设备接入wifi。

newkit

yhky 发表于 2020-12-12 07:57
扫二维码分享wifi，大多数国产的某OS某UI都支持，不过是通过系统读取保存的ssid和psk，这个功能是比较安全 ...

多谢科普！确实如此，不过智能设备现在很难不去用。

暗黑狂龙

获取你wifi名称+MAC地址 通过三角定位 + WIFI信号分析仪     能很容易找到你家精确到0.1米的位置

newkit

暗黑狂龙 发表于 2020-12-22 03:33
获取你wifi名称+MAC地址 通过三角定位 + WIFI信号分析仪     能很容易找到你家精确到0.1米的位置 ...

啥意思？三角定位不是GSM上用的吗？

yich

你应该听说过 《 wifi 万能钥匙 》这个软件吧？
这就是把的 wpa_supplicant.conf 给卷走了的活生生的例子！

newkit

yich 发表于 2020-12-26 16:00
你应该听说过 《 wifi 万能钥匙 》这个软件吧？
这就是把的 wpa_supplicant.conf 给卷走了的活生生的例子！ ...

毫无疑问。我连进我家暂时要个wifi的亲朋都问一句，你装没装万能wifi？装的一律不给，连访客wifi都不给，叫他们自己用流量。。。

yich

newkit 发表于 2020-12-26 16:42
毫无疑问。我连进我家暂时要个wifi的亲朋都问一句，你装没装万能wifi？装的一律不给，连访客wifi都不给， ...

那你有没有问过，
GPS 是不是关了？

newkit

yich 发表于 2020-12-27 10:24
那你有没有问过，
GPS 是不是关了？

智者千虑啊。难道这玩意儿这么流氓？到哪儿都收集ssid和地理位置？不过我不给登陆，收集了也没用吧

芝士蛋糕

newkit 发表于 2020-12-11 17:05
那手机里存的密码太多了，支付宝，网银之类的。。。那压根就不能安装任何第三方app啊，话说我安装的还是 ...

如  ww895247568..  有意义的数字 简记“w8.”  放 企鹅收藏夹里:loveliness: