如果你手机中有Wi-Fi Finder这款app,或许是移除app并变更Wi-Fi网络密码的时候了。 Techcrunch报导Wi-Fi Finder app搜集超过200万笔用户Wi-Fi密码、地点等数据的数据库未设密码公开于网络上,可能让企业及家用Wi-Fi网络门户洞开。
Wi-Fi Finder为一名为JiWire的开发商开发。 JiWire 2014年改名为Ninthdecimal。
Wi-Fi Finder可让手机用户快速搜索到、并连上邻近Wi-Fi热点的app,也让用户分享他们Wi-Fi热点供他人使用。中文版Google Play网页显示这款app号称收藏了全球数十万个Wi-Fi热点,下载人次超过50万。
Wi-Fi Finder开发商将用户上传的Wi-Fi数据集结存储在统一数据库内,而GDI安全研究人员Sanyam Jain日前在网络上发现这个数据库未设密码挂在网络上。他进一步发现数据库内置超过200万笔记录,每笔记录都包含Wi-Fi网络名称、精确地点、基础服务设置识别码(Basic Service Set Identifier,BSSID)、以及明码存储的网络密码。
值得注意的是,虽然该app声称只提供公共Wi-Fi热点的密码,但研究人员分析热点的地点数据,发现其中有大量是来自住宅区,显然为一般家用Wi- Fi基站。
这款app虽提醒手机用户不要随意连上来路不明的Wi-Fi热点,但未设密码的数据库反而也让众多企业、家用或个人Wi-Fi网络数据曝险。一旦这个数据库遭黑客访问,即可能造成入侵公司与家用网络窃取数据、或修改DNS设置引导用户连上恶意网站等后果。
Techcrunch试图联络据信位于中国的JiWire,但二个星期下来联络未果,最后通知托管ISP DigitalOcean才将这公开数据库移除。