Wifi-wachtwoorden van gebruikers van WiFi Finder, een Android-app om hotspots te vinden, zijn op straat komen te liggen. Sanyam Jain, beveiligingsonderzoeker en lid van de GDI Foundation, deed de ontdekking en maakte dit kenbaar aan TechCrunch.
De app stelt gebruikers in staat wifi-netwerken in hun nabije omgeving te zoeken. Bovendien is het ook mogelijk om zelf een lijst wifi-netwerkwachtwoorden van apparaten naar de database te uploaden, zodat anderen deze kunnen gebruiken. Alleen beschikt WiFi Finder niet over een mechanisme dat onderscheid maakt tussen openbare hotspots en thuisnetwerken.
Duizenden gebruikers hebben daardoor onbedoeld hun eigen wifi-wachtwoord in de app-database ingevoerd. Die bevat informatie van privé-thuisnetwerken en openbare netwerken van ruim 100.000 gebruikers en heeft wereldwijd ruim 2 miljoen wifi-wachtwoorden verzameld.
Blootgestelde gegevens
De database van WiFi Finder omvatte per record gegevens over de naam van het wifi-netwerk, de exacte geolocatie, de SSID en het netwerkwachtwoord (dat als leesbare tekst is opgeslagen). De beveiligingsonderzoeker ontdekte dat de database geheel onbeschermd was en voor iedereen toegankelijk.
Samen met TechCrunch-verslaggever Zack Whittaker is Jain naar eigen zeggen meer dan twee weken tevergeefs bezig geweest contact te leggen met de vermoedelijk Chinese ontwikkelaar van de app. Uiteindelijk heeft de host DigitalOcean de database verwijderd.
Ongeoorloofde toegang
Hoewel de ontwikkelaar van WiFi Finder beweert dat de app alleen wachtwoorden voor openbare hotspots biedt, toonde een evaluatie van de gegevens talloze privé-netwerken. Er werd geen contactinformatie voor eigenaars van de wifi-netwerken gevonden, maar de geolocatie van elk wifi-netwerk correleerde op een kaart vaak met woonwijken of plaatsen waar geen bedrijven bestaan. Bovendien vereiste de app niet dat gebruikers toestemming van de eigenaar van het netwerk nodig hadden, waardoor er dus sprake was van ongeoorloofde toegang.
Kwaadwillende geesten kunnen, wanneer ze eenmaal toegang tot een netwerk hebben, onder meer routerinstellingen aanpassen en zo nietsvermoedende gebruikers doorverwijzen naar kwaadaardige websites. Verder kan een aanvaller ook het niet-versleutelde verkeer in een netwerk lezen, dat over het draadloze netwerk gaat. Hierdoor is het vervolgens weer mogelijk wachtwoorden en geheimen te stelen.
Ondanks dat het een cruciale fout in de app betreft, zal de schade hoogstwaarschijnlijk beperkt blijven, aldus Gizmodo. Kwaadwillenden moeten de huishoudens in de database namelijk afzonderlijk aanvallen. Iets dat overigens wél mogelijk is, gezien de blootgestelde geolocatiegegevens.
Naïef
Opvallend is wel dat gebruikers vrij eenvoudig onbekende makers toegang tot hun gegevens geven. Zo vereist WiFi Finder onder meer dat gebruikers de app toegang geven tot hun locaties en volledige contactlijsten – denk dan aan telefoonnummers en e-mailaccounts van vrienden en familie. Bovendien werd er ook gevraagd naar verjaardagen, sociale mediaprofielen en de mogelijkheid gegevens op telefoons te lezen, wijzigen en verwijderen. Het is dan ook aan te raden géén gebruik te maken van apps, die onnodig om dit soort informatie vragen.
De Google Play Store blijft een gemakkelijke manier om malware snel naar onwetende gebruikers te verspreiden. Zo ontdekten onderzoekers in januari dat ruim 9 miljoen Android-bezitters waren geïnfecteerd door tientallen kwaadaardige apps. Een maand eerder vond een andere groep onderzoekers 22 apps die meer dan 2 miljoen keer werden gedownload en die stiekem kleine browservensters openden en herhaaldelijk op advertenties klikten. Batterijen van gebruikers raakten hierdoor snel leeg. Afgelopen maand zou Google nog zo’n 200 apps hebben verwijderd, die waren geïnfecteerd met adware. De betreffende apps zouden alleen al 150 miljoen zo’n keer zijn gedwonload.
Gerelateerd: Google ziet aantal schadelijke apps op Android afnemen