Android-приложение таинственных разработчиков украло 2 млн паролей к Wi-Fi

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев

WiFi Finder, приложение под Android от китайских разработчиков, позволяет сохранять и расшаривать логины и пароли к общественным точкам доступа. Все логины и пароли при этом хранились в незашифрованном виде на незащищённом сервере.


На сервере, открытом всем ветрам

Популярное мобильное приложение под Android WiFi Finder, которое призвано помогать отыскивать публичные точки доступа к беспроводным сетям, хранило в незащищённом виде реквизиты доступа к двум миллионам роутеров.

Логины-пароли в plaintext были обнаружены экспертами компании GDI Foundation на лишённом какой бы то ни было защиты сервере, и специалистам по безопасности потребовалось приложить некоторые усилия, чтобы добиться удаления этой базы из общего доступа.

Пользователи WiFi Finder, получившие доступ к точкам доступа (публичным или частным), имеют возможность делиться известными ими логинами и паролями с другими пользователями приложения. Такая возможность сама по себе может вызывать вопросы, но ещё больше - вызывает тот факт, что приложение, по-видимому, сохраняло все реквизиты доступа, которые пользователи вводили у себя на смартфонах и планшетах, вместе с SSID, геолокационными и другими данными.

Анализ базы этих реквизитов показал, что в ней присутствовало бесчисленное множество логинов-паролей к домашним роутерам. Используя геолокационные данные, эксперты определили, что огромное количество «засвеченных» точек доступа располагались в жилых кварталах, где никаких бизнес-предприятий и публичных заведений нет. Разработчики приложения утверждают, что WiFi Finder сохраняет только логины и пароли к точкам доступа в коммерческих структурах, однако в действительности это приложение, похоже, лишено каких-либо механизмов, позволяющих отличать домашний роутер от маршрутизатора в кафе или бизнес-центре.

«Проблема в том, что в коммерческих фирмах у точки доступа скорее всего будут реализованы одноразовые логины и пароли или «гостевой» режим, так что даже зная логин и пароль к нему, потенциальный злоумышленник не сможет проникнуть в корпоративную сеть, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Домашний же роутер, скорее всего, рассчитан на использование только самими владельцами жилья и их близкими знакомыми. То есть, никакого безопасного гостевого режима. А следовательно, потенциальный злоумышленник, зная логин и пароль, может «поселиться» в домашней локальной сети и инфицировать её всем, чем ему заблагорассудится, или поменять настройки DNS, чтобы перенаправлять пользовательский траффик через вредоносные ресурсы».

Эксперт также отметила, что приложение позволяет сохранять логины и пароли к роутерам, не требуя разрешения от их владельцев, и уже это вызывает вопросы относительно безопасности использования WiFi Finder.

Приложение хорошее и функции интересные

Интересно, что попытки экспертов компании GDI Foundation связаться с разработчиками WiFi Finder, базирующимися, судя по всему, в Китае, не дали никаких результатов. Они просто не реагировали. В итоге компания DigitalOcean, хостившая сервер, на котором располагалась база данных, перекрыла к ней доступ.

Между тем, WiFi Finder скачали не менее 100 тыс. человек, и едва ли многие из них задавались вопросов, с какой стати это приложение требует доступ к геолокационным данным пользователя, его полному списку контактов (со всеми телефонами и почтовыми адресами) и возможность считывать, изменять и удалять информацию на пользовательском смартфоне.

«Приложению, предназначенному только для поиска точек доступа Wi-Fi, все эти данные совершенно ни к чему, - говорит Анастасия Мельникова. - Вообще говоря, при установке нового приложения настоятельно рекомендуется проверять, что из себя представляет его разработчик, и как разрешения, которые оно требует, коррелируют с его функциональностью. Иными словами, если приложение требует, например, доступ к видеокамере смартфона, но его номинальная функциональность не подразумевает использования камеры, такое приложение лучше не ставить вовсе».