Una app para compartir redes WiFi deja accesibles 2 millones de contraseñas WiFi
Una app popular de búsqueda de hotspots para Android ha expuesto las contraseñas de más de dos millones de redes Wi-Fi.
La aplicación, descargada por miles de usuarios, permitía a cualquiera buscar redes Wi-Fi en sus proximidades. La aplicación permitía al usuario agregar a la base de datos la contraseña de su red Wi-Fi para que otros las utilizasen.
Sin embargo, esa base de datos con más de dos millones de contraseñas de redes WiFi ha quedado expuesta y desprotegida, permitiendo a cualquiera acceder y descargarse de golpe los datos de todas las redes, incluyendo la contraseña.
Sanyam Jain, un investigador de seguridad y miembro de la Fundación GDI, encontró la base de datos y, junto con TechCrunch, trató de ponerse en contacto sin éxito con el desarrollador, que se cree que tiene su sede en China.
Finalmente se pusieron en contacto con el host, DigitalOcean, que retiró la base de datos en el plazo de un día. «Hemos notificado al usuario y hemos desconectado la base de datos expuesta», dijo un portavoz del proveedor.
Cada registro contenía el nombre de la red WiFi, su geolocalización precisa, su identificador (BSSID) y la contraseña de red WiFi almacenada en texto plano.
Aunque el desarrollador afirma que la aplicación sólo proporciona contraseñas para los puntos de acceso público, una revisión de los datos mostró innumerables redes Wi-Fi domésticas.
Los datos expuestos no incluían información de contacto de ninguno de los propietarios de la red Wi-Fi, pero la geolocalización de cada red Wi-Fi permite situarlas en zonas totalmente residenciales.
La aplicación no requería que los usuarios obtengan el permiso del propietario de la red para conectarse a ellas, lo que supone un riesgo de seguridad. Con acceso a una red WiFi, resulta relativamente sencillo modificar la configuración del router para cambiar el servidor DNS, lo que podría ser utilizado con fines maliciosos. Además, una vez conectado a la red, un atacante también podría leer el tráfico no cifrado.