一個廣受歡迎的 Android WiFi 熱點搜尋連線 App,被資安專家發現其連線密碼資料庫沒有任何安全措施,可任人隨意取用。
資安專家 Sanyam Jain 向科技媒體 TechCrunch 透露,一支廣受歡迎的 Android WiFi 熱點搜尋連線 App,其存有兩百萬組 WiFi 連線密碼的資料庫,竟然沒有加上任何防護措施,任何人均可自由存取,並且打包下載。
這支名為 WiFi Finder 的 Android App,疑似由中國團隊開發;在 Google Play Store 上已有超過十萬次下載,目前仍在架上。
該 App 雖然強調儲存的都是可供公眾使用的 WiFi 熱點,但實際檢視資料庫內容後發現,該資料庫也包含許多家用或私人 WiFi 路由器密碼。
專家指出,攻擊者可以透過這些密碼進入內網,進一步設法修改路由器的設定,將該區網的用戶導向至惡意網站,或是竊聽網路封包內容,進一步竊取帳密等各種資訊。
TechCrunch 試圖連絡 App 開發者,但均無回音;存放該筆資料庫的雲端服務廠商 DigitalOcean 已將此資料庫自網路上撤下。
資料來源:
