Android-App "WiFi Finder" leakte private WLAN-Passwörter
Auf über 100.000 Handys half WiFi Finder beim Verbinden mit öffentlichen Hotspots. In vielen Fällen sammelte die App aber auch private Zugangsdaten.
Der Sicherheitsforscher Sanyam Jain hat auf einem Server eine ungeschĂĽtzte Datenbank mit mehr als zwei Millionen WLAN-Zugangsdaten entdeckt. Wie Jain gegenĂĽber dem IT-Newsportal TechCrunch berichtete, stammten die Daten aus der Android-App "WiFi Finder" des Entwicklers "Proofusion".
Die App, die bis vor kurzem in Googles Play Store zum Download bereitstand, verzeichnete mehr als 100.000 Installationen. Laut Beschreibung sollte sie Nutzern die Suche nach und das Verbinden mit öffentlichen WLAN-Hotspots – etwa in Cafés und Restaurants oder auf Flughäfen – in "über 100.000 Städten weltweit" erleichtern. Unter anderem ermöglichte sie es Nutzern, WLAN-Zugangsdaten in die Datenbank der App-Entwickler zu laden, um sie mit anderen zu teilen.
Mittlerweile wurde nicht nur WiFi Finder, sondern auch eine zweite von Proofusion veröffentlichte App namens "Call Recorder" zum Aufzeichnen von Telefongesprächen aus dem Play Store entfernt.
"Zahllose" Heimnetzwerke Teil des Leaks
Offenbar beinhaltete WiFi Finder keine (oder zumindest keine ausreichenden) Überprüfungsmechanismen oder Beschränkungen bezüglich der an den Server zu übermittelnden Daten, so dass laut TechCrunch auch Zugangsdaten zu Heimnetzwerken in Proofusions Datenbank landeten. Im Einzelnen handelte es sich dabei jeweils um den Netzwerknamen, die Geokoordinaten, den Basic Service Set Identifier (BSSID) als eindeutige Kennung der Funkzelle eines Access Points sowie das Netzwerk-Passwort im Klartext.
Wie viele der zwei Millionen Zugangsdaten in der Datenbank zu privaten Netzwerken gehören, ist unklar. TechCrunch berichtet von "zahllosen" betroffenen Heimnetzwerken, von denen sich zehntausende in den USA befinden sollen.
Datenbank mittlerweile offline
Eigenen Angaben zufolge versuchte das TechCrunch-Team mehr als zwei Wochen lang, den von ihnen in China vermuteten Entwickler Proofusion zu kontaktieren – allerdings ohne Erfolg. Dessen Webhoster DigitalOcean hingegen, mit dem sich TechCrunch anschließend in Verbindung setzte, reagierte umgehend, indem er die Datenbank innerhalb eines Tages entfernte. (ovw)