Una conocida aplicación terminó exponiendo las contraseñas de al menos dos millones de redes Wi-Fi

Una conocida aplicación terminó exponiendo las contraseñas de al menos dos millones de redes Wi-Fi

La aplicación "Wi-Fi Finder" escaneaba las redes cercanas y permitía a los usuarios conectarse a ellas con contraseñas que guardaba en su base de datos.

Hasta hace poco una aplicación presente en la Play Store estaba causando estragos en cuanto a seguridad informática. La razón de esto es que su funcionamiento terminó haciendo vulnerables más de dos millones de redes Wi-Fi.

La app se llamaba 'Wi-Fi Finder'. Su propósito parecía de lo más altruista, pues prometía ayudar a los usuarios a acceder a redes Wi-Fi cercanas. Esto lo hacía escaneando los alrededores y permitiendo el ingreso a una red sin necesidad de contraseña.

¿Cómo ocurría esto? Los usuarios que supieran la contraseña de una red podían compartirla con la aplicación para que esta pudiera ayudar automáticamente a otras personas. Así, todas las contraseñas quedaban guardadas en su base de datos para el uso de los demás.

No obstante, un investigador de seguridad alertó a Techcrunch de que la base de datos de la aplicación había sido expuesta. De esta forma los datos de más de dos millones de redes quedaron totalmente desprotegidas. Cualquiera que tuviera acceso a esa información podría tener acceso a los contenidos presentes en la red.

Una conocida aplicación terminó exponiendo las contraseñas de al menos dos millones de redes Wi-Fi

Un problema de seguridad gravísimo

Conociendo esto, el medio citado trató de contactar al desarrollador de la aplicación, que está ubicado en China. Sin embargo, después de dos semanas de insistencias no hubo éxito alguno. Eso sí, se pudo a contactar con el proveedor de servicios DigitalOcean, que terminó deshaciéndose de la base de datos.

Cada registro de la base de datos tenía información específica de una red wi-fi determinada. Allí se encontraba el nombre de la red, su geolocalización, su identificador de conjuntos de servicios básicos (BSSID) y su contraseña en texto plano. En otras palabras, contaba con datos realmente delicados.

Se suponía que la aplicación solo trabajaba con hotspots en lugares públicos. Contrario a esto, se descubrió que también tenía los datos de numerosas redes domésticas. Si bien no había información de sus dueños, el solo dato de la geolocalización señalaba dónde vivían.

Por último, la app ni siquiera necesitaba del permiso del dueño de la red para dar un acceso. En ese punto un atacante podría modificar la configuración del router para llevar a los usuarios a sitios maliciosos al cambiar el servidor DNS. Además, puede leer el tráfico no cifrado que atraviesa la red, lo que le permite robar contraseñas.

Tan solo unas cuantas miles de redes fueron afectadas en Estados Unidos. Actualmente la aplicación ya no está en la Play Store.

Una conocida aplicación terminó exponiendo las contraseñas de al menos dos millones de redes Wi-Fi