Há apps cujas ideias de base são perfeitas e extremamente úteis. Fornecem aos utilizadores serviços únicos e que se provam essenciais, muitas vezes em situações de necessidade.
O WiFi Finder tinha esta premissa, pelo menos até agora. Esta app de partilha de hotspots viu a sua base de dados ficar exposta com 2 milhões de passwords de redes Wi-Fi completamente acessíveis.
Foi Sanyam Jain, um investigador de segurança e membro da GDI Foundation, que descobriu a vulnerabilidade do WiFi Finder. Esta app de partilha de acessos a redes Wi-Fi, públicas e privadas, tinha a sua base de dados acessível a qualquer um. Ao todo são 2 milhões de registos que ficaram acessíveis.
Os dados presentes nessa base de dados tinham informações sobre as redes públicas, mas também de redes e hotspots privados, muitas delas domésticas. Para além dos nomes das redes (BSSID), estavam também acessíveis outros dados de acesso e informação sensível. Falamos das passwords de acesso em claro e a localização geográfica destas redes.
O criador da app garante que apenas disponibilizava o acesso a redes públicas, mas permitia o armazenamento de dados de redes privadas. É esta última informação a mais sensível, uma vez que permite o acesso a qualquer rede doméstica lá colocada.
Não tendo sido possível contactar com sucesso a Proofusion, a empresa criadora da app, o investigador acabou por contactar o fornecedor de serviço onde a base de dados desprotegida estava armazenada. Este removeu-a ao fim de um dia, deixando assim de estar disponível.
Com a remoção desta base de dados, a app WiFi Finder não deverá estar a funcionar de forma correta e nem a apresentar os dados de acesso esperados. As permissões que exige levaram a que dados mais sensíveis tivessem sido recolhidos inadvertidamente.
Com mais de 100.000 instalações desde março de 2018, esta é uma app que estava a ser bem aceite pelos utilizadores. Esta popularidade só piora a situação da disponibilização dos dados das redes Wi-fi, uma vez que existe muita informação disponibilizada. Resta saber qual será a posição do criador da app e como irá ele resolver este problema.