WiFi Finder-app lekt door fout twee miljoen wifi-wachtwoorden
Een app waarmee Androidgebruikers wifi-netwerken in hun buurt kunnen vinden en gebruiken heeft door een onbeveiligde database meer dan twee miljoen wifi-wachtwoorden gelekt. WiFi Finder laat gebruikers ook wachtwoorden en namen van wifi-netwerken naar een database uploaden.
Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. Hoewel de app-ontwikkelaar claimt dat de app alleen wachtwoorden van openbare wifi-netwerken biedt, blijkt die ook allerlei thuisnetwerken te bevatten. De database met twee miljoen wifi-netwerknamen, exacte geolocatie, basic service set identifier (BSSID) en wachtwoorden in plaintext was voor iedereen op internet toegankelijk.
Sanyam Jain, een beveiligingsonderzoeker van de GDI Foundation, ontdekte de database en informeerde TechCrunch, dat de app-ontwikkelaar probeerde te waarschuwen. Ondanks herhaaldelijke pogingen lukte het niet om met de ontwikkelaar in contact te komen. Daarop werd de provider geïnformeerd waar de database werd gehost. Die haalde de server waarop de database draaide binnen een dag uit de lucht. WiFi Finder is meer dan 100.000 keer geïnstalleerd.
Reacties (14)
23-04-2019, 11:18 door
Wim ten Brink
Da's geen bug maar een feature. Het is immers ontwikkeld door een Chinese ontwikkelaar en men wil gewoon toegang tot deze gevoelige data... :)
Zijn deze data dan via de publieke Wi-Fi database ook niet bij http://www.mylnikov.org verschenen?
Als adept van F.R.A.V.I.A. leerde ik al dat een goede zoeker gevaarlijker kan zijn dan een gewiekste hacker.
Alle info is namelijk op het web terug te vinden, alleen moet je weten waar je het moet zoeken.
De erfenis van de veel te vroeg gestorven F.R.A.V.I.A. (RIP) is nog steeds online te vinden
en bevat nog veel belangwekkende informatie: http://search.lores.eu/indexo.htm
luntrus
Als adept van F.R.A.V.I.A. leerde ik al dat een goede zoeker gevaarlijker kan zijn dan een gewiekste hacker.
Alle info is namelijk op het web terug te vinden, alleen moet je weten waar je het moet zoeken.
De erfenis van de veel te vroeg gestorven F.R.A.V.I.A. (RIP) is nog steeds online te vinden
en bevat nog veel belangwekkende informatie: http://search.lores.eu/indexo.htm
luntrus
Dit soort Apps zouden toch eigenlijk verboden moeten worden?
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
Door Samsonait: Dit soort Apps zouden toch eigenlijk verboden moeten worden?
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
3. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Hueh?!
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
3. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Hueh?!
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Als een restaurant etc het wifi wachtwoord beschikbaar stelt voor klanten is het daarmee nog geen publiek/openbaar netwerk.
Het is immers alleen bedoeld voor klanten/cliënten. Dat die het makkelijk doorgeven aan anderen is onterecht en dat zouden ze wellicht strenger in de gebruikersvoorwaarden moeten melden.
Als ik de sleutel van de buurvrouw krijg om de plantjes te doen dan mag ik die sleutel ook niet kopieren en aan jan en alleman uitlenen.
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
Eens.
Door Samsonait: Dit soort Apps zouden toch eigenlijk verboden moeten worden?
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
nou dat lijkt mij niet persee. er zijn tientallen password manager die een online functie hebben. Daar stuur je veel meer prive inlog informatie naar een db. denk aan last pass/robo form e.d..
Dit soort Apps zouden toch eigenlijk verboden moeten worden?
Want daarmee los je het "probleem" op ...?Windows doet dit toch ook? (passwords van Wifi access points naar een centrale server uploaden en distribueren)
En daarom heb ik gewoon kabel voor mijn desktop, en gebruik ik wifispot van ziggo als het nodig is voor mijn laptop.
Zo min mogelijk locatie's gegevens van mij.
Zo min mogelijk locatie's gegevens van mij.
Door Anoniem: Windows doet dit toch ook? (passwords van Wifi access points naar een centrale server uploaden en distribueren)
Alleen Windows 10 en dan ook nog alleen de HOME edition dacht ik.
Door Anoniem:
Alleen Windows 10 en dan ook nog alleen de HOME edition dacht ik.
Door Anoniem: Windows doet dit toch ook? (passwords van Wifi access points naar een centrale server uploaden en distribueren)
Alleen Windows 10 en dan ook nog alleen de HOME edition dacht ik.
Allee zeg! Het zal toch niet? Toch niet mijn WiFi wachtwoord?
24-04-2019, 11:16 door
ShaWormHa
Door Anoniem:
nou dat lijkt mij niet persee. er zijn tientallen password manager die een online functie hebben. Daar stuur je veel meer prive inlog informatie naar een db. denk aan last pass/robo form e.d..
Door Samsonait: Dit soort Apps zouden toch eigenlijk verboden moeten worden?
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
nou dat lijkt mij niet persee. er zijn tientallen password manager die een online functie hebben. Daar stuur je veel meer prive inlog informatie naar een db. denk aan last pass/robo form e.d..
Ja klopt, maar daar zeg je het al. Password managers, die vaak ook de optie geven om je db te encrypten met een master password. Niet dat dit een garantie is uiteraard.
Hier gaat het specifiek om Netwerknamen i.c.m wachtwoorden. Gedeelt met andere personen.
Als een restaurant etc het wifi wachtwoord beschikbaar stelt voor klanten is het daarmee nog geen publiek/openbaar netwerk.
Het is immers alleen bedoeld voor klanten/cliënten. Dat die het makkelijk doorgeven aan anderen is onterecht en dat zouden ze wellicht strenger in de gebruikersvoorwaarden moeten melden.
Als ik de sleutel van de buurvrouw krijg om de plantjes te doen dan mag ik die sleutel ook niet kopieren en aan jan en alleman uitlenen.
Het is immers alleen bedoeld voor klanten/cliënten. Dat die het makkelijk doorgeven aan anderen is onterecht en dat zouden ze wellicht strenger in de gebruikersvoorwaarden moeten melden.
Als ik de sleutel van de buurvrouw krijg om de plantjes te doen dan mag ik die sleutel ook niet kopieren en aan jan en alleman uitlenen.
Eigenlijk wat ik ook bedoelde, maar verkeerd omschreven door mij.
Wat nu gebeurd is dat deze gegevens, van bijvoorbeeld een restaurant openbaar worden gedeelt. Daarom snap ik het bestaansrecht van een password manager wel, maar deze app niet. Dat al deze netwerknamen en ww naar een db worden gestuurd is al iets waar ik mijn bedenkingen bij heb. Nu is het gelekt, zou er niet van opkijken als de db ook nog gewoon in plaintext is. Ik ben geen ontwikkelaar, maar als je zelf je db encrypt hoe kan je het dan delen met derden? Op het moment dat jij je wifinetwerk en ww kan delen via die app, dan moet het toch 'leesbaar' zijn voor de ontvangende partij.
Door Anoniem:
Dit soort Apps zouden toch eigenlijk verboden moeten worden?
Want daarmee los je het "probleem" op ...?Ja daarmee los je dit probleem wel op, let wel ik heb het hier niet over password managers, maar specifiek over dit soort apps. Die dus wifinetwerken en wachtwoorden verzameld, om ze vervolgens te kunnen delen met anderen. Daarvoor zijn hotspots in het leven geroepen zodat mensen onderweg ook internet kunnen hebben, dit is gewoon niet de bedoeling. Stel je voor dat je mensen op visite hebt, die maken verbinding met je wifi en vragen jou het wachtwoord. Die gaan dat vervolgens via die app delen? Omdat ze de app daar toestemming voor hebben gegeven.
In dit geval ja, zou het probleem zijn opgelost als ze dit type apps gewoon verbieden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
