App Android ha esposto le credenziali di 2 milioni di reti WiFi

Una popolare applicazione per Android, specializzata nella ricerca di hotspot, ha esposto le password di oltre due milioni di reti WiFi. L'app è stata scaricata da migliaia di utenti a livello mondiale e consentiva a chiunque di cercare reti wireless nelle vicinanze, ed anche di caricare le password delle reti conosciute.

In questo modo, un altro utente che effettua il download, può conoscere la password per connettersi ad una determinata rete WiFi.

Il tutto a quanto pare viene memorizzato in un database che è rimasto esposto e non protetto, rendendo pubbliche oltre due milioni di password di rete.

La scoperta è stata effettuata da Sanyam Jain, un ricercatore di sicurezza e membro della GDI Foundation, che ha diffuso la ricerca a TechCrunch. I redattori della popolare testata hanno cercato per due settimane di contattare lo sviluppatore dell'applicazione, che a quanto pare avrebbe sede in Cina, senza successo. Successivamente è stato contattato l'host, DigitalOcen, che ha provveduto alla rimozione del database.

Ogni record conteneva il nome della rete WiFi, la sua geolocalizzazione precisa, il BSSIS e la password memorizzata, il tutto in chiaro e senza crittografia.

Lo sviluppatore nella descrizione dell'applicazione sostiene che questa è stata progettata solo per consentire di indicare le password delle reti pubbliche, ma da un rapido studio dei dati è emerso che sarebbero state memorizzate anche le credenziali di innumerevoli reti domestiche. Incoraggiante che i dati esposti non includevano le informazioni di contatto per nessuno dei proprietari, ma la possibilità di conoscere le password anche di reti private potrebbe consentire ad un malintenzionato di estrarre informazioni o cambiare le impostazioni del router, come i DNS.