國外媒體 TechCrunch 報導,合法上架 Google Play 商店的 Wi-Fi 熱點搜尋 App「WiFi Finder」,儲存了超過 200 萬個未加密的 Wi-Fi 密碼,而且有不少為私人熱點,形成巨大資安風險,使用者應該考慮立即移除該程式。
「WiFi Finder」是個用來尋找使用者周遭 Wi-Fi 熱點的 Android App,如果使用者夠大氣,也可以將私人的 Wi-Fi 熱點密碼上傳,供他人進行網路存取。不過「WiFi Finder」聲稱使用者的密碼都有加密保護,所以不用擔心別人知道你的密碼內容。
雖然對於沒有網路吃到飽的人而言,本著共享互助的想法,本來 App 的立意十分良好。但「WiFi Finder」卻因為沒有將「公共熱點」和「私人熱點」進行區分,甚至被發現他們其實是直接用明文將 Wi-Fi 熱點的密碼,儲存於未加密的資料庫中,頓時讓該 App 蒐集的 200 萬個公共/私人 Wi-Fi 網路,暴露在資安風險之中。
TechCrunch 指出,GDI 基金會安全研究員 Sanyam Jain,在網路上找到了「WiFi Finder」未經加密儲存的 Wi-Fi 密碼資料庫,其內容包含了熱點名稱(SSID)、精確的地理位置,以及用明文儲存的密碼和其他數據。
Sanyam Jain 花費約兩周的時間,試圖聯絡疑似來自中國的「WiFi Finder」開發者「Proofusion」,但卻沒有獲得任何回應,最後只能直接請雲端主機託管商 DigitalOcean 將該資料庫從網路上離線。
雖然該 App 開發人員於商店頁面聲稱,「WiFi Finder」僅提供來自公共熱點的 Wi-Fi 密碼,但從曝光的資料庫中,不難發現有許多 Wi-Fi 熱點的地理位置,定位於人口稠密的住宅區,這表示該資料庫內也蒐集了大量私人的熱點資訊,而且沒有獲得妥善區分與加密。
即便這些未加密的 Wi-Fi 相關資訊,無法與熱點擁有者的更多私人訊息互相連結,但大部分使用者,其實都輕忽私人 Wi-Fi 熱點資訊遭洩漏,可能帶來的資安風險。
舉例來說,如果是個有心的攻擊者,即可透過資料庫中,由 Wi-Fi 所提供的精確地理位置,針對某個家庭的特定網路進行攻擊,達成攔截未加密資訊、建立殭屍網路跳板、植入 DNS 汙染,甚至駭入連上該 Wi-Fi 的物聯網設備等,一連串為所欲為的攻擊行為。
如果你有在使用「WiFi Finder」這套 App,或許你該考慮將其立刻移除。
來源:TechCrunch
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!