WiFi Finder惊爆200万个Wi-Fi密码未加密 数据库可任人访问
据外媒报导,适用于Android系统的免费Wi-Fi找寻应用程式「WiFi Finder」惊传漏洞,因为该应用程式拥有存有高达200万个Wi-Fi密码的数据库,但这些密码都未经过加密,形成严重的资安漏洞。
据外媒《TechCrunch》报导,WiFi Finder是一款相当热门的应用程式,能让使用者搜寻所在地附近的WiFi,一般人也可以将自己的WiFi热点密码上传至该应用程式的数据库,让需要的人使用。这样的想法其实非常好,因为不是每个人的行动网路皆有吃到饱,因此WiFi共享成为了一种相当好的想法。
但WiFi Finder却存在着风险,因为该应用程式存放200万个Wi-Fi密码的数据库并未受到妥善的保护,任何人都可以进行访问和下载资料。GDI基金会安全研究员Sanyam Jain表示,该资料库中存有每个WiFi的名称、精确地理位置、基础服务组识别码(BSSID)以及WiFi密码,他花费两周试图联络WiFi Finder的开发者,疑似是来自中国大陆的Proofusion,但未获回应,最终靠着云端业者DigitalOcean直接让该数据库下线。
报导指出,虽然该应用程式的开发者声称仅提供公用WiFi的密码,但数据库内却存有为数不少的私人WiFi密码。虽然持有这些私人WiFi密码并无法直接与该WiFi进行联系,但若是有心人士想针对特定私人网路进行攻击,可透过该资料库中存有的精确地理位置轻易进行,像是植入DNS污染或是建构僵尸网路跳板等。