WiFi Finder驚爆200萬個Wi-Fi密碼未加密 數據庫可任人訪問
據外媒報導,適用於Android系統的免費Wi-Fi找尋應用程式「WiFi Finder」驚傳漏洞,因爲該應用程式擁有存有高達200萬個Wi-Fi密碼的數據庫,但這些密碼都未經過加密,形成嚴重的資安漏洞。
據外媒《TechCrunch》報導,WiFi Finder是一款相當熱門的應用程式,能讓使用者搜尋所在地附近的WiFi,一般人也可以將自己的WiFi熱點密碼上傳至該應用程式的數據庫,讓需要的人使用。這樣的想法其實非常好,因爲不是每個人的行動網路皆有吃到飽,因此WiFi共享成爲了一種相當好的想法。
但WiFi Finder卻存在着風險,因爲該應用程式存放200萬個Wi-Fi密碼的數據庫並未受到妥善的保護,任何人都可以進行訪問和下載資料。GDI基金會安全研究員Sanyam Jain表示,該資料庫中存有每個WiFi的名稱、精確地理位置、基礎服務組識別碼(BSSID)以及WiFi密碼,他花費兩週試圖聯絡WiFi Finder的開發者,疑似是來自中國大陸的Proofusion,但未獲迴應,最終靠着雲端業者DigitalOcean直接讓該數據庫下線。
報導指出,雖然該應用程式的開發者聲稱僅提供公用WiFi的密碼,但數據庫內卻存有爲數不少的私人WiFi密碼。雖然持有這些私人WiFi密碼並無法直接與該WiFi進行聯繫,但若是有心人士想針對特定私人網路進行攻擊,可透過該資料庫中存有的精確地理位置輕易進行,像是植入DNS污染或是建構殭屍網路跳板等。