Fr. 03. Mai 2019 um 7:05

Android WiFi Finder hat Millionen Passwörter preisgegeben

von Yves Jeanrenaud0 Kommentare

Die Android-App WiFi Finder soll eigentlich das auffinden von öffentlichen Hotspots erleichtern. Sie hat jedoch die Zugangsdaten und Geo-Koordinaten von Millionen privaten und betrieblichen WLAN-Signalen kompromittiert. Laut Techcrunch wurden die WLAN-Passwörter in Klartextform, zusammen mit SSID (Service Set Identifier) und BSSID (Basic Service Set Identifier) und den Koordinaten des WLAN-Signals abgespeichert. Also alles, was man braucht, um das WiFi-Netz zu finden und zu benutzen. Die BSSID stellt zudem die eindeutige Identifikationskennung des drahtlosen Zugangspunktes dar, schliesslich mehrere WLAN-Signale dieselbe SSID, sprich den selben WLAN-Namen nutzen können. Damit ist es möglich, ganz genau das jeweilige Signal zu identifizieren.


WiFi Finder
Die Screenshots zur leakenden Android App WiFi Finder aus dem Google Play Store

Das alles sollte so natürlich ganz und gar nicht sein. Da hilft auch ein starkes WLAN-Passwort herzlich wenig, wenn die App, statt nur die öffentlichen Hotspots zu speichern, auch in Zugangsdaten von zwei Millionen diejenigen von privaten Accesspoints speichert, weil die Personen, die die Android App WiFi Finder nutzten, sie hochgeladen haben.

Dass die Datenbank einerseits unverschlüsselt war und andererseits aufgefunden werden konnte, ist ein Fauxpas sondergleichen. Da hilft auch der Welt-Passwort-Tag nichts mehr, wenn Apps unsere Passwörter leaken!

 

Die Datenbank soll unterdessen nicht mehr im Netz sein und die App ist mittlerweile auch aus dem Google Play Store verschwunden. Allerdings wurde die Datenbank nicht von den Developer von WiFi Finder entfernt, sondern vom Webhoster Digital Ocean, auf dessen Servern sie abgespeichert war. Laut TechCrunch gibt Proofusion, Developer von WiFi Finder, keine Antwort auf ihre Anfragen.

 

Da die App aber über 100’000 Downloads verzeichnete, muss man von einem grösseren Problem ausgehen. Gut 10’000 WLAN-Signale, deren Zugangsdaten, Standorte und Details in der öffentlich einsehbaren Datenbank lagen, seien in den USA zu verorten. Der Rest der zwei Millionen über die ganze Welt verteilt. Und ob die Datenbank nicht sowieso schon in den Untiefen des Darknet zu Geld gemacht wird, ist auch nicht gesichert.

 

 

Quelle: TechCrunch (Englisch) via Golem

Aus dem Google Play Store-Eintrag zu WiFi Finder
Das könnte Sie auch interessieren

Schreibe einen Kommentar

Teilen