Android漏洞惊爆200万个Wi-Fi密码 可任人访问

据外媒报导，适用于Android系统的免费Wi-Fi找寻应用程式“WiFi Finder”惊传漏洞，因为该应用程式拥有存有高达200万个Wi-Fi密码的数据库，但这些密码都未经过加密，形成严重的资安漏洞。

据外媒《TechCrunch》报导，WiFi Finder是一款相当热门的应用程式，能让使用者搜寻所在地附近的WiFi，一般人也可以将自己的WiFi热点密码上传至该应用程式的数据库，让需要的人使用。这样的想法其实非常好，因为不是每个人的行动网络皆有吃到饱，因此WiFi共享成为了一种相当好的想法。

但WiFi Finder却存在着风险，因为该应用程式存放200万个Wi-Fi密码的数据库并未受到妥善的保护，任何人都可以进行访问和下载资料。GDI基金会安全研究员Sanyam Jain表示，该数据库中存有每个WiFi的名称、精确地理位置、基础服务组识别码（BSSID）以及WiFi密码，他花费两周试图联络WiFi Finder的开发者，疑似是来自中国大陆的Proofusion，但未获回应，最终靠着云端业者DigitalOcean直接让该数据库下线。

报导指出，虽然该应用程式的开发者声称仅提供公用WiFi的密码，但数据库内却存有为数不少的私人WiFi密码。虽然持有这些私人WiFi密码并无法直接与该WiFi进行联系，但若是有心人士想针对特定私人网络进行攻击，可透过该数据库中存有的精确地理位置轻易进行，像是植入DNS污染或是建构僵尸网络跳板等。