作为一名小微商户,每天我除了要为经营小店忙得焦头烂额,还要想方设法地寻求提升用户体验。于是,我用了号称“营销神器”的某商用WiFi系统......

然后不可思议的事情发生了:连上此WiFi的手机(包括我自己的)开始不停地弹出乱七八糟的广告;我的个人信息遭到了泄露,各种莫名其妙的电话不断地轰炸我;顾客对店里这样的网络服务非常不满意,渐渐地光顾小店的人越来越少了......谁能告诉我,这究竟是怎么回事?

号称“O2O时代营销神器”的网格商用WiFi营销系统,“用移动互联网的力量为线下商家带来更多顾客和创造更多收益、让合作商家自愿为顾客提供免费WiFi上网服务”。

漏洞揭秘

漏洞盒子平台近期收到白帽子提交的漏洞报告(vulbox-2015-06984),网格商用WiFi营销服务系统存在漏洞,可用非正常方式登入系统管理后台,而此时我们终于恍然大悟——原来,这就是商家都乐于提供免费WiFi的原因……

好多商户呢,小肥羊、正一味、永琪理发赫然在列。

每个商家都有不少功能

下面我们进入具体商户,查看WiFi设置信息,比如北京有名的火锅东来顺:

看看谁在连接WiFi,还可以设置手机连接WiFi的弹出广告,修改在线菜单等……此时连上WiFi的用户俨然成了任人宰割的“小白鼠”?

再来看看汉庭酒店WiFi后台:

用户在连了商家WiFi后,会收到商家的发出的推送——万恶的弹窗广告:

网格官网显示其合作品牌如下(部分):

漏洞状态

已将漏洞细节通知官方。

盒子君有话说

据不完全统计,我国手机网民已超过8亿,餐厅、车站、机场等公共场所的无线WiFi热点迅速普及。WiFi网络安全也作为今年3.15晚会的重要议题,向社会全民揭秘网络安全黑洞。几天前,首都机场Wi-Fi网络安全隐患被曝光引起全社会的关注与热议。

现在很多商用WiFi都采用了“微信关注免费上网”的策略,网格WiFi同样采取了这种模式,并直截了当地总结了此举的“优缺点”。试问网格及商家:“如果客户没有在网格注册过,无法获取客户手机号”怎么就是产品缺点了?你们在获取客户信息的时候,难道没想过这需要征求谁的同意吗?

O2O时代下的大数据生意到底颠覆了谁?“免费WiFi”的理想究竟又能走多远?面对无孔无入的商家和广告忽悠,消费者真的蠢到会为一切买单吗?

*作者/漏洞盒子,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

快速使用Romanysoft LAB的技术实现 HTML 开发Mac OS App,并销售到苹果应用商店中。
 
《HTML开发Mac OS App 视频教程》
 
官方QQ群:(申请加入,说是我推荐的
  • App实践出真知 434558944       
  • App学习交流 452180823          
 

漏洞告诉你:商家为什么都乐于提供免(diao)费(yu)WiFi?的更多相关文章

  1. 告诉你一个真实的OpenStack:都谁在用,用来干什么?

    告诉你一个真实的OpenStack:都谁在用,用来干什么? OpenStack基金会近日发布的双年调查报告显示,开源云计算软件OpenStack正在进入主流企业市场,但该项目依然面临较难部署和管理的老 ...

  2. 等方案及设备提供商 有需要的可以联系QQ561454825,电话:13779953060,我们提供最专业的无线WIFI认证系统及根据您的需要修改软件

    WayOs智能路由.EasyRadius云计费.POE远程供电.WIFI城中村方案.EPON实现FTTB+LAN城中村方案. 等方案及设备提供商 有需要的可以联系QQ561454825,电话:,我们提 ...

  3. 小老板,我学的计算机组成原理告诉我半导体存储器都是断电后丢失的,为什么U盘SSD(固态硬盘)没事呢?

    什么是闪存: 快闪存储器(英语:flash memory),是一种电子式可清除程序化只读存储器的形式,允许在操作中被多次擦或写的存储器 存储原理 要讲解闪存的存储原理,还是要从EPROM和EEPROM ...

  4. 年薪500K工程师告诉你,python都能用来做什么?

    一提到python,大家脑袋中都会想到「数据分析」.「爬虫」.「人工智能」这些词. 其实python并没有像如上所说的这样「专业」.「高深」的应用,对于初学者来说更是可以从一些超简单又有趣的小项目开始 ...

  5. Ubuntu 12.04(所有ubuntu发行版都适用)sudo免输入密码

    首先执行以下命令(该命令用来修改 /etc/sudoers 文件): $ sudo gedit /etc/sudoers 然后把  %sudo    ALL=(ALL:ALL) ALL  这行注释掉, ...

  6. 原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞!

    GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star ...

  7. (六)观察者模式详解(包含观察者模式JDK的漏洞以及事件驱动模型)

    作者:zuoxiaolong8810(左潇龙),转载请注明出处,特别说明:本博文来自博主原博客,为保证新博客中博文的完整性,特复制到此留存,如需转载请注明新博客地址即可. 本章我们讨论一个除前面的单例 ...

  8. Linux就这个范儿 第16章 谁都可以从头再来--从头开始编译一套Linux系统 nsswitch.conf配置文件

    Linux就这个范儿 第16章 谁都可以从头再来--从头开始编译一套Linux系统  nsswitch.conf配置文件 朋友们,今天我对你们说,在此时此刻,我们虽然遭受种种困难和挫折,我仍然有一个梦 ...

  9. 【转+自己研究】新姿势之Docker Remote API未授权访问漏洞分析和利用

    0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露.获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 ...

随机推荐

  1. 将oracle从数据库32位平台迁移到64位置

    客户32位置oracle数据库系统的磁盘损坏,幸运的是,oracle数据库完美无损.客户数据库迁移到新购设备.新设备的内存64G,制REDHAT 6.2 64位置,直接拷贝数据文件肯定是不.由于ora ...

  2. redis举例调用两种方式方式

    在以下的代码演示样例中.将给出两种最为经常使用的Redis命令操作方式,既普通调用方式和基于管线的调用方式. 注:在阅读代码时请留意凝视.   1 #include <stdio.h>   ...

  3. 【records】10.9-10.16

    .

  4. ThoughtWorks、Teambition、Trello、Slack、DevCloud 主流敏捷软件开发工具平台比较

    在大公司做了6年程序员,2年项目经理的小王,正在创业公司迎来他焦虑的而立之年. 但是对于3个月前加入创业公司的决定,他现在有些烦躁和怀疑人生.在他过往的经验看来,公司新接的小项目,在过去的大公司里1个 ...

  5. .net remoting 使用事件

    原文:.net remoting 使用事件 在RPC如果需要使用事件,相对是比较难的.本文告诉大家如何在 .net remoting 使用事件. 目录 使用 Channel 序列化 开发建议 修复异常 ...

  6. 更改linux的最大文件描述符限制

    To ensure good server performance, the total number of client connections, database files, and log f ...

  7. 狄拉克函数(Dirac delta function)

    1. 定义 δ(x)={∞0if x=0if x≠0 这样定义的目的在于使如下的积分式成立: ∫∞−∞δ(x)dx=1 2. 重要性质 sifting property ∫∞−∞f(x)δ(x−μ)d ...

  8. Java编程思想里的泛型实现一个堆栈类

    觉得作者写得太好了,不得不收藏一下. 对这个例子的理解: //类型参数不能用基本类型,T和U其实是同一类型. //每次放新数据都成为新的top,把原来的top往下压一级,通过指针建立链接. //末端哨 ...

  9. UWP 扩展/自定义标题栏的方法,一些概念和一些注意事项

    原文 UWP 扩展/自定义标题栏的方法,一些概念和一些注意事项 在 Windows 10 的前几个版本中将页面内容扩展到标题栏上还算简单,主要是没什么坑.直到一些新控件的引入和一些外观设计趋势变化之后 ...

  10. PHP数组教程

    定义数组 PHP数组array是一组有序的变量,其中每个变量被叫做一个元素. 一.定义数组 可以用 array() 语言结构来新建一个数组.它接受一定数量用逗号分隔的 key => value ...