Популярное Android-приложение для поиска точек доступа Wi-Fi раскрывало пароли более двух миллионов беспроводных сетей.
Приложение WiFi Finder, загруженное из Google Play Store тысячами пользователей, позволяет находить поблизости доступные сети Wi-Fi. Пользователи также могут загружать пароли для доступа к беспроводным сетям со своих устройств в базу данных приложения, чтобы ими могли пользоваться другие. Однако эта база данных находилась в открытом доступе, и покопаться в ней мог любой желающий.
Исследователь безопасности Саньям Джайн (Sanyam Jain) обнаружил БД и сообщил о ней журналистам издания TechCrunch. В течение более двух недель они общими усилиями пытались связаться с разработчиком приложения, предположительно находящимся в Китае, но безуспешно. В итоге журналисты обратились к хостинг-провайдеру DigitalOcean, который в тот же день отключил незащищенную БД.
Каждая запись в БД содержала имя сети Wi-Fi, ее точное местоположение, идентификатор BSSID и пароль в незашифрованном виде. Хотя, по словам разработчика, приложение предоставляет пароли только для доступа к общественным беспроводным сетям, в БД содержатся данные множества домашних сетей.
Приложение не требует, чтобы пользователи получали разрешение от владельца сети Wi-Fi, тем самым подвергая ее угрозе несанкционированного доступа. Имея доступ к сети, злоумышленник может изменить настройки маршрутизатора таким образом, чтобы ничего не подозревающие пользователи попадали на вредоносные сайты. Находясь в сети, преступник также может просматривать проходящий через беспроводную сеть незашифрованный трафик и похищать конфиденциальные данные.
Источник: securitylab.ru