Спецпроекты

Android-приложение таинственных разработчиков украло 2 млн паролей к Wi-Fi

Безопасность Стратегия безопасности Пользователю Техника

WiFi Finder, приложение под Android от китайских разработчиков, позволяет сохранять и расшаривать логины и пароли к общественным точкам доступа. Все логины и пароли при этом хранились в незашифрованном виде на незащищённом сервере.

На сервере, открытом всем ветрам

Популярное мобильное приложение под Android WiFi Finder, которое призвано помогать отыскивать публичные точки доступа к беспроводным сетям, хранило в незащищённом виде реквизиты доступа к двум миллионам роутеров.

Логины-пароли в plaintext были обнаружены экспертами компании GDI Foundation на лишённом какой бы то ни было защиты сервере, и специалистам по безопасности потребовалось приложить некоторые усилия, чтобы добиться удаления этой базы из общего доступа.

Пользователи WiFi Finder, получившие доступ к точкам доступа (публичным или частным), имеют возможность делиться известными ими логинами и паролями с другими пользователями приложения. Такая возможность сама по себе может вызывать вопросы, но ещё больше - вызывает тот факт, что приложение, по-видимому, сохраняло все реквизиты доступа, которые пользователи вводили у себя на смартфонах и планшетах, вместе с SSID, геолокационными и другими данными.

Анализ базы этих реквизитов показал, что в ней присутствовало бесчисленное множество логинов-паролей к домашним роутерам. Используя геолокационные данные, эксперты определили, что огромное количество «засвеченных» точек доступа располагались в жилых кварталах, где никаких бизнес-предприятий и публичных заведений нет. Разработчики приложения утверждают, что WiFi Finder сохраняет только логины и пароли к точкам доступа в коммерческих структурах, однако в действительности это приложение, похоже, лишено каких-либо механизмов, позволяющих отличать домашний роутер от маршрутизатора в кафе или бизнес-центре.

«Проблема в том, что в коммерческих фирмах у точки доступа скорее всего будут реализованы одноразовые логины и пароли или «гостевой» режим, так что даже зная логин и пароль к нему, потенциальный злоумышленник не сможет проникнуть в корпоративную сеть, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Домашний же роутер, скорее всего, рассчитан на использование только самими владельцами жилья и их близкими знакомыми. То есть, никакого безопасного гостевого режима. А следовательно, потенциальный злоумышленник, зная логин и пароль, может «поселиться» в домашней локальной сети и инфицировать её всем, чем ему заблагорассудится, или поменять настройки DNS, чтобы перенаправлять пользовательский траффик через вредоносные ресурсы».

Эксперт также отметила, что приложение позволяет сохранять логины и пароли к роутерам, не требуя разрешения от их владельцев, и уже это вызывает вопросы относительно безопасности использования WiFi Finder.

Приложение хорошее и функции интересные

Интересно, что попытки экспертов компании GDI Foundation связаться с разработчиками WiFi Finder, базирующимися, судя по всему, в Китае, не дали никаких результатов. Они просто не реагировали. В итоге компания DigitalOcean, хостившая сервер, на котором располагалась база данных, перекрыла к ней доступ.

Между тем, WiFi Finder скачали не менее 100 тыс. человек, и едва ли многие из них задавались вопросов, с какой стати это приложение требует доступ к геолокационным данным пользователя, его полному списку контактов (со всеми телефонами и почтовыми адресами) и возможность считывать, изменять и удалять информацию на пользовательском смартфоне.

«Приложению, предназначенному только для поиска точек доступа Wi-Fi, все эти данные совершенно ни к чему, - говорит Анастасия Мельникова. - Вообще говоря, при установке нового приложения настоятельно рекомендуется проверять, что из себя представляет его разработчик, и как разрешения, которые оно требует, коррелируют с его функциональностью. Иными словами, если приложение требует, например, доступ к видеокамере смартфона, но его номинальная функциональность не подразумевает использования камеры, такое приложение лучше не ставить вовсе».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Персона месяца

Хорошо относимся к российскому ИТ-рынку и развиваем инсорс-разработку

Евгений Абакумов

ИТ-директор Росатома