Photo: Tom Pennington / Getty
Des milliers d’utilisateurs d’une application appelée WiFi Finder, le but déclaré de ce qui est, évidemment, de trouver et de fournir des informations d’identification pour les hotspots WiFi publics, par inadvertance soumis leur propre WiFi à la maison des mots de passe à l’application de base de données, qui a fui en ligne.
Le soupir.
TechCrunch a rapporté lundi que l’appli—qui semble être basée en Chine, parce que, naturellement, c’est—a été utilisé par plus de 100 000 personnes pour recueillir plus de 2 millions de mots de passe WiFi à l’échelle mondiale. La base de données comprend les noms de réseau (SSID), une géolocalisation précise, et *clair* les mots de passe, entre autres données.
L’application permet aux utilisateurs de télécharger des listes de l’stockés les mots de passe WiFi, mais il n’a pas de mécanisme pour faire la différence entre les points d’accès et les réseaux à la maison. Des milliers d’utilisateurs dans les seuls états-UNIS n’ont apparemment pas de noter ce, pour ne rien dire de le développeur de l’application est évident échecs.
La base de données a été découvert par Sanyam Jain, un chercheur en sécurité et un membre de l’isd de la Fondation, TechCrunch signalés.
Pendant plus de deux semaines, Jain et de la sécurité journaliste Zack Whittaker essayé de prendre contact avec la société derrière l’application, qui est répertorié comme “Proofusion” sur Google Play. Ils ont été infructueuses. Finalement, le cloud d’accueil DigitalOcean est intervenu et a pris la base de données en mode hors connexion.
Alors que les conséquences potentielles de cette fuckup sont extrêmes, ils sont probablement minimisé par le fait que les attaquants devront cibler individuellement les ménages figurant dans la base de données. (Bien que, il est plus probable que grâce à la géolocalisation des données exposées par la base de données.)
Hypothétiquement, un attaquant pourrait utiliser les informations d’identification de jouer avec les paramètres du routeur, d’intercepter les connexions, la propagation des logiciels malveillants à travers un réseau, et la reprise de la maison intelligente appareils, tels que les caméras de sécurité. Carrière des cybercriminels qui serait susceptible de trouver ce processus fastidieux, cependant. Il est beaucoup plus facile ces jours-ci à un spam, un seul lien malveillant à quelques millions d’utilisateurs et de voir qui mord à l’hameçon.
Ce qui est effrayant est la connaissance que de nombreuses personnes continuent de télécharger des applications développées par des sociétés qui ne les a jamais entendu parler de, de leur accorder l’accès à toutes sortes d’informations personnelles sur eux-mêmes et les autres.
Le téléchargement de WiFi Finder, par exemple, les utilisateurs requis pour la remise de l’accès à leurs emplacements, plein de listes de contacts—sens numéros de téléphone et les comptes de messagerie de tous leurs amis et les membres de la famille, et dans certains cas leurs anniversaires et les profils de médias sociaux—ainsi que, pour aucune raison en particulier, la capacité de lire, de modifier et de supprimer des données sur leurs téléphones.
Si vous ne la connaissez pas déjà, ne pas utiliser les applications à la demande, de ces autorisations.
Google Play lui-même continue d’être un total shitshow et l’un des moyens les plus faciles de diffuser rapidement les logiciels malveillants l’incompétence des masses. Les chercheurs en janvier, par exemple, a montré que 9 millions de propriétaires Android avaient été infectés par des dizaines d’applications malveillantes. Un mois plus tôt, un autre groupe de chercheurs a trouvé 22 apps téléchargées plus de 2 millions de fois que secrètement ouverte à de minuscules fenêtres de navigateur et à plusieurs reprises cliqué sur les annonces, le drainage des utilisateurs de piles. Et le mois dernier, Google a supprimé certains 200 apps infecté par adware qui a été téléchargé près de 150 millions de fois. La liste est longue.
Même s’il est vrai que les grandes, les entreprises de bonne réputation peut également fuite ou tout simplement intentionnellement de manière abusive les données de l’utilisateur—si vous avez installé un Facebook sur votre téléphone, bénissez votre coeur—les utilisateurs peuvent réduire leur risque de se faire défoncer par un malveillant et/ou douteux application en prenant un moment pour (au moins) de Google le nom du développeur de l’application, que vous pouvez lors de la sélection d’un mécanicien ou un électricien, ou n’importe qui qui est approché de vous en vous offrant une sorte de service.
Vous devez être particulièrement sceptique quand un service est offert sans frais pour vous. Si une personne au hasard proposée pour corriger les dommages causés à votre voiture gratuitement, vous seriez sans doute (j’espère) le déclin. Le téléchargement d’un hasard app avec ce niveau d’accès à vos données est pratiquement pas différent de déverrouillage de votre téléphone et de les remettre à un inconnu au centre commercial.
Il prend seulement un balayage rapide de WiFi Finder bref politique de confidentialité—qui comporte un lien vers une “Application de la Politique de Confidentialité Générateur” (lol)—réaliser la probabilité que quelque chose va mal, c’est très élevée. Donc, s’il vous plaît, pour l’amour de dieu, l’exercice d’une once de bon sens.
[TechCrunch]
Partager Cette Histoire