WiFi Finder藏200萬個WiFi密碼卻未經加密 黑客可輕易進行攻擊

撰文:李福源
出版:更新:

美國科技網站TechCrunch周一(22日)報道,適用於Android系統的免費熱門WiFi服務搜尋應用程式「WiFi Finder」擁有超過200萬個WiFi密碼的數據庫,但這些密碼全都沒有經過加密,形成嚴重的資訊安全漏洞;報道又指,該程式的開發商相信是一間來自中國的公司。

「WiFi Finder」能讓使用者搜尋所在地附近的WiFi服務,只要用家打開該程式,就可以看到附近有哪些可用的WiFi熱點。由於用家可以將WiFi的密碼上載至該程式的數據庫,讓其他用家亦可以使用,所以資料庫上就記載了不少WiFi的位置和登入密碼等資料。

本來這樣的WiFi共享想法很好,因為每個人有需要時便可透過程式來上網,但荷蘭網絡安全機構GDI基金會安全研究員賈因(Sanyam Jain)就發現程式的數據庫存有每個WiFi的名稱、精確的地理位置、基礎服務組識別碼(BSSID)以及WiFi密碼,但數據庫並未受到妥善的保護,任何人都可以進入和下載資料,因此存在安全風險。

賈因表示,他花了逾兩周時間嘗試聯絡開發商,但沒有獲得回應,最終只好聯絡雲端運算平台公司DigitalOcean,直接把該數據庫移除。

報道亦指,雖然開發商聲稱該程式僅提供公用WiFi熱點的密碼,但數據庫內卻存有無數的個人用戶WiFi熱點位置及對應的密碼。雖然這些私人WiFi密碼並沒有包含用戶的聯絡資料,但如果黑客想攻擊某個特定的私人網路,便可透過資料庫中的地理位置資料輕易進行攻擊,例如登入帳戶修改無線WiFi的設定,截取登入用家的傳輸數據,或更改DNS伺服器將登入的用家導向惡意網站。

(綜合報道)