App om Wifi hotspots te vinden lekte ruim 2 miljoen wachtwoorden

Een Android-app waarmee gebruikers Wifi hotspots kunnen vinden, heeft de wachtwoorden van ruim 2 miljoen Wifi-routers gelekt. De inloggegevens waren volgens beveiligingsonderzoekers als platte tekst zichtbaar. Het gaat om de WiFi Finder-app, die ruim 100.000 keer gedownload is vanuit Google Play.

De bewuste app helpt gebruikers niet alleen bij het vinden van Wifi hotspots, maar geeft ook inloggegevens van die hotspots, mits de eigenaars deze hebben gedeeld. Dit is nu juist waar het beveiligingsprobleem zit, aldus TechCrunch. Sanyam Jain, beveiligingsonderzoeker en lid van de GDI Foundation, ontdekte namelijk dat de database waar die wachtwoorden in stonden, op een onbeveiligde server stond.

De gelekte data bevatte geen contactinformatie voor de eigenaars van de getroffen Wifi-netwerken, maar wel de geolocatie en de basic service set identifier (BSSID). TechCrunch zegt twee weken geprobeerd te hebben contact op te nemen met de ontwikkelaar van de app, die volgens hen in China zit. Dat is echter niet gelukt.

Uiteindelijk heeft de website contact opgenomen met DigitalOcean, die de app host. DigitalOcean heeft de database een dag later offline gehaald. Een woordvoerder van het bedrijf laat weten dat het de gebruiker op de hoogte heeft gesteld.

Woonwijken

De app-ontwikkelaar stelt dat de app alleen wachtwoorden biedt voor publieke hotspots. Maar volgens TechCrunch blijkt uit de data dat er talloze Wifi-netwerken van particulieren bijzitten. De geolocatie van ieder Wifi-netwerk op een kaart toonde vaak netwerken die in woonwijken zaten, waar geen bedrijven zitten.

De app vereist bovendien niet dat gebruikers toestemming krijgen van de eigenaar van een netwerk. Hierdoor zijn de Wifi-netwerken ook kwetsbaar voor ongeoorloofde toegang. Met toegang tot een netwerk, kunnen hackers de instellingen van de router mogelijk aanpassen om gebruikers om te leiden naar malafide websites, door de DNS-server aan te passen.

Ook kunnen aanvallers het niet-versleutelde verkeer dat over het draadloze netwerk gaat lezen, waardoor zij wachtwoorden en andere gevoelige informatie kunnen ontvreemden.