国外媒体 TechCrunch 报导,合法上架 Google Play 商店的 Wi-Fi 热点搜寻 App“WiFi Finder”,储存了超过 200 万个未加密的 Wi-Fi 密码,且有不少为私人热点,形成巨大资安风险,使用者应该考虑立即移除该程式。
“WiFi Finder”(目前在 Google Play 搜寻不到)是个用来寻找使用者周遭 Wi-Fi 热点的 Android App,如果使用者够大气,也可以将私人 Wi-Fi 热点密码上传,供他人存取。不过“WiFi Finder”声称使用者的密码都有加密保护,所以不用担心别人知道你的密码内容。
虽然对没有网络吃到饱的人而言,本着共享互助的想法,本来 App 的立意十分良好,但“WiFi Finder”却因没有区分“公共热点”和“私人热点”,甚至被发现他们其实是直接用明文将 Wi-Fi 热点的密码,储存于未加密的数据库,顿时让 App 搜集的 200 万个公共/私人 Wi-Fi 网络,暴露在资安风险中。
▲ 热点搜寻 App“WiFi Finder”。
TechCrunch 指出,GDI 基金会安全研究员 Sanyam Jain,在网络找到“WiFi Finder”未经加密储存的 Wi-Fi 密码数据库,包含热点名称(SSID)、精确的地理位置,以及明文储存的密码和其他数据。
Sanyam Jain 花费约两周时间,试图联络疑似来自中国的“WiFi Finder”开发者“Proofusion”,却没有任何回应,最后只能直接请云端主机托管商 DigitalOcean 将数据库从网络离线。
(Source:维基百科)
虽然 App 开发人员于商店页面声称,“WiFi Finder”仅提供公共热点的 Wi-Fi 密码,但从曝光的数据库,不难发现有许多 Wi-Fi 热点的地理位置,定位于人口稠密的住宅区,这表示数据库也搜集了大量私人热点资讯,且没有获得妥善区分与加密。
即便这些未加密的 Wi-Fi 相关资讯,无法与热点拥有者更多私人讯息互相连结,但大部分使用者,其实都轻忽私人 Wi-Fi 热点资讯遭泄漏,可能带来的资安风险。
举例来说,如果有心的攻击者,即可透过数据库由 Wi-Fi 提供的精确地理位置,针对某个家庭的特定网络攻击,达成拦截未加密资讯、建立僵尸网络跳板、植入 DNS 污染,甚至骇入连上该 Wi-Fi 的物联网设备等,一连串为所欲为的攻击行为。
如果你有使用“WiFi Finder”App,或许该考虑立刻移除。
- A hotspot finder app exposed 2 million Wi-Fi network passwords
(本文由 T客邦 授权转载;首图来源:pixabay)
