(semisquare-x3)
Cada registro en WiFi Finder contenía el nombre de la red, su ubicación geográfica precisa, su identificador de conjunto de servicios básicos y la contraseña (EFE).

La aplicación para celulares Android “WiFi Finder”, cuyo objetivo es localizar puntos WiFi gratis, expuso las contraseñas de red de más de dos millones de usuarios de internet.

Así lo reveló el sitio especializado en tecnología Tech Crunch, al señalar que la aplicación, que parece estar basada en China, permitía a cualquier persona buscar redes Wi-Fi en áreas cercanas y cargar las contraseñas respectivas en una base de datos para que otros puedan usarlas.

Los desarrolladores de WiFi Finder explican que su aplicación permite a los usuarios "cargar contraseñas de redes WiFi públicas desde sus dispositivos para que alguien más la use".

Sin embargo, Sanyam Jain, un investigador de seguridad y miembro de la Fundación GDI, reveló a Tech Crunch que en realidad no todas las redes eran públicas, y muchas de ellas eran privadas.

Cada registro en WiFi Finder contenía el nombre de la red, su ubicación geográfica precisa, su identificador de conjunto de servicios básicos y la contraseña.

El problema es que esa base de datos quedó desprotegida, lo que permitió descargar el contenido de forma masiva.

Uno de los problemas que presenta WiFi Finder son los permisos que solicita para poder funcionar, entre los que se encuentra el acceso a ubicaciones, lista de contactos, cuentas de correo electrónico y perfiles en redes sociales.

Es así como la app se hizo de una lista de más de dos millones de redes WiFi. Es decir, obtuvo acceso a millones de redes sin el permiso del propietario de dicha red, exponiendo estas WiFi a accesos no autorizados.

En teoría, con toda esta información, un atacante podría tener acceso a la configuración de un router para interceptar inicios de sesión, propagar malware y hasta adquirir el control de dispositivos conectados, como cámaras de seguridad o cerraduras, entre otras cosas.

Finalmente, el propietario de la aplicación, Digital Ocean, eliminó en un solo día la base de datos, luego de que los expertos de seguridad digital lo contactaran.

"Notificamos a cada usuario y desconectamos el servidor que hospedabala base de datos expuesta", dijo un portavoz de la compañía.


💬Ver 0 comentarios