WiFi Finder藏200萬個WiFi密碼卻未經加密　黑客可輕易進行攻擊

美國科技網站TechCrunch周一（22日）報道，適用於Android系統的免費熱門WiFi服務搜尋應用程式「WiFi Finder」擁有超過200萬個WiFi密碼的數據庫，但這些密碼全都沒有經過加密，形成嚴重的資訊安全漏洞；報道又指，該程式的開發商相信是一間來自中國的公司。

「WiFi Finder」能讓使用者搜尋所在地附近的WiFi服務，只要用家打開該程式，就可以看到附近有哪些可用的WiFi熱點。由於用家可以將WiFi的密碼上載至該程式的數據庫，讓其他用家亦可以使用，所以資料庫上就記載了不少WiFi的位置和登入密碼等資料。

本來這樣的WiFi共享想法很好，因為每個人有需要時便可透過程式來上網，但荷蘭網絡安全機構GDI基金會安全研究員賈因（Sanyam Jain）就發現程式的數據庫存有每個WiFi的名稱、精確的地理位置、基礎服務組識別碼（BSSID）以及WiFi密碼，但數據庫並未受到妥善的保護，任何人都可以進入和下載資料，因此存在安全風險。

賈因表示，他花了逾兩周時間嘗試聯絡開發商，但沒有獲得回應，最終只好聯絡雲端運算平台公司DigitalOcean，直接把該數據庫移除。

報道亦指，雖然開發商聲稱該程式僅提供公用WiFi熱點的密碼，但數據庫內卻存有無數的個人用戶WiFi熱點位置及對應的密碼。雖然這些私人WiFi密碼並沒有包含用戶的聯絡資料，但如果黑客想攻擊某個特定的私人網路，便可透過資料庫中的地理位置資料輕易進行攻擊，例如登入帳戶修改無線WiFi的設定，截取登入用家的傳輸數據，或更改DNS伺服器將登入的用家導向惡意網站。

（綜合報道）