fbpx

L’application WiFi Finder a laissé plus de 2 millions de mots de passe réseau exposés

Par

le

L’application WiFi Finder a stocké plus de 2 millions de mots de passe réseau en clair dans une base de données en ligne non protégée.

Rien n’est plus utile pour un voyageur qu’une application capable de signaler des hotspots publics locaux. Cependant, un moteur de recherche de hotspots pour Android a laissé les mots de passe de plus de deux millions de routeurs, y compris les réseaux domestiques, exposés en clair sur Internet.

L’application simplement nommée « WiFi Finder » recherche les points d’accès à proximité. Les utilisateurs peuvent télécharger des points d’accès publics ou même les mots de passe de leur propre routeur dans la base de données de l’application pour permettre aux autres utilisateurs de les rechercher et d’y accéder.

Cependant, la base de données de l’application est restée largement ouverte sur Internet. Les informations d’identification de plus de deux millions de réseaux étaient non sécurisées et non cryptées pour une durée indéterminée.

Le chercheur en sécurité, Sanyam Jain, de la GDI Foundation, a déclaré à TechCrunch que les données étaient facilement accessibles pour le téléchargement. Les enregistrements contenaient le nom du réseau WiFi, la géolocalisation, son identifiant de service de base (BSSID) et le mot de passe réseau stocké en texte brut.

« Nous avons averti l’utilisateur et mis le [serveur] hébergeant la base de données exposée hors ligne. »

TechCrunch a tenté de joindre Proofusion, le développeur chinois de l’application, mais n’a reçu aucune réponse. Il a ensuite contacté DigitalOcean, la société hébergeant la base de données de l’application. Il a été démonté dans les 24 heures.

« Nous avons averti l’utilisateur [Proofusion] et avons mis le [serveur] hébergeant la base de données exposée hors ligne », a déclaré un porte-parole de DigitalOcean.

Le développeur affirme que l’application fournit uniquement des mots de passe pour les «points d’accès publics». Toutefois, lors de l’analyse, les données exposées contenaient de nombreux réseaux domestiques.

En effet, même dans la description de l’application, celle-ci indique «Partagez votre réseau» et «Soyez social et partagez vos points d’accès Wi-Fi. Ajoutez votre réseau Wi-Fi et mettez à jour.  »

Avec la base de données supprimée, l’application peut ne pas fonctionner correctement maintenant. On ignore si Proofusion résoudra le problème.