Wer nach öffentlichen WLAN-Zugängen sucht, dem können Apps wie «WiFi Finder» helfen. Das Programm zeigt Nutzern WLAN-Hotspots in tausenden von Städten. User können auch Login-Daten der Hotspots auf die Server des Entwicklers «Proofusion» laden. So können andere Nutzer auf die Anmeldedaten zugreifen. «WiFi Finder» wurde im Google Play Store mehr als 100'000 Mal heruntergeladen.
Der IT-Sicherheitsforscher Sanyam Jain hat mehr als zwei Millionen solcher Zugangsdaten von «WiFi Finder» im Internet gefunden – auf einer ungeschützten Datenbank, auf die jeder hätte zugreifen können. Das berichtet TechCrunch.
Unter den Daten fanden sich nicht nur Login-Informationen zu öffentlichen Hotspots. Sicherheitsforscher Jain fand auch Anmeldeinformationen von privaten WLAN-Zugängen und dazu passende Geokoordinaten und Netzwerknamen.
Offensichtlich konnte jeder Nutzer Daten privater WLAN-Zugänge auf die Server von «Proofusion» hochladen. Die Zustimmung der Netzwerk-Besitzer war dazu nicht erforderlich.
Mit Zugriff auf private Informationen eines Netzwerks können Angreifer beispielsweise Router-Einstellungen ändern und Nutzer auf infizierte Websites leiten. Schon jetzt sind viele Heimnetzwerke durch unzureichend geschützte smarte Geräte gefährdet. Mehr zum Thema in diesem Interview .
Tech Crunch hat nach eigenen Angaben mehr als zwei Wochen erfolglos versucht, den «WiFi Finder»-Entwickler zu kontaktieren. Danach berichtete das Magazin dem Betreiber der Datenbank von dem Vorfall. Der nahm den Server mit den WLAN-Zugangsdaten innerhalb eines Tages vom Netz.
Wie viele der zwei Millionen gefundenen Zugangsdaten Informationen zu privaten Heimnetzwerken beinhalteten, ist nicht bekannt. Laut Tech Crunch stammen zumindest zehntausende Daten von privaten Haushalten in den USA.
Die App «WiFi Finder» von «Proofusion» wurde mittlerweile aus dem Google Play Store entfernt. Wie Heise online berichtet, wurde auch die App «Call Recorder» von «Proofusion» aus dem Play Store genommen. Mit dem Programm konnten Nutzer Telefongespräche aufzeichnen.
Verwendete Quellen:
(avr/t-online.de)