國外媒體 TechCrunch 報導,合法上架 Google Play 商店的 Wi-Fi 熱點搜尋 App「WiFi Finder」,儲存了超過 200 萬個未加密的 Wi-Fi 密碼,且有不少為私人熱點,形成巨大資安風險,使用者應該考慮立即移除該程式。
「WiFi Finder」(目前在 Google Play 搜尋不到)是個用來尋找使用者周遭 Wi-Fi 熱點的 Android App,如果使用者夠大氣,也可以將私人 Wi-Fi 熱點密碼上傳,供他人存取。不過「WiFi Finder」聲稱使用者的密碼都有加密保護,所以不用擔心別人知道你的密碼內容。
雖然對沒有網路吃到飽的人而言,本著共享互助的想法,本來 App 的立意十分良好,但「WiFi Finder」卻因沒有區分「公共熱點」和「私人熱點」,甚至被發現他們其實是直接用明文將 Wi-Fi 熱點的密碼,儲存於未加密的資料庫,頓時讓 App 蒐集的 200 萬個公共/私人 Wi-Fi 網路,暴露在資安風險中。
TechCrunch 指出,GDI 基金會安全研究員 Sanyam Jain,在網路找到「WiFi Finder」未經加密儲存的 Wi-Fi 密碼資料庫,包含熱點名稱(SSID)、精確的地理位置,以及明文儲存的密碼和其他數據。
Sanyam Jain 花費約兩週時間,試圖聯絡疑似來自中國的「WiFi Finder」開發者「Proofusion」,卻沒有任何回應,最後只能直接請雲端主機託管商 DigitalOcean 將資料庫從網路離線。
雖然 App 開發人員於商店頁面聲稱,「WiFi Finder」僅提供公共熱點的 Wi-Fi 密碼,但從曝光的資料庫,不難發現有許多 Wi-Fi 熱點的地理位置,定位於人口稠密的住宅區,這表示資料庫也蒐集了大量私人熱點資訊,且沒有獲得妥善區分與加密。
即便這些未加密的 Wi-Fi 相關資訊,無法與熱點擁有者更多私人訊息互相連結,但大部分使用者,其實都輕忽私人 Wi-Fi 熱點資訊遭洩漏,可能帶來的資安風險。
舉例來說,如果有心的攻擊者,即可透過資料庫由 Wi-Fi 提供的精確地理位置,針對某個家庭的特定網路攻擊,達成攔截未加密資訊、建立殭屍網路跳板、植入 DNS 污染,甚至駭入連上該 Wi-Fi 的物聯網設備等,一連串為所欲為的攻擊行為。
如果你有使用「WiFi Finder」App,或許該考慮立刻移除。
留言列表
