WiFi Finder藏200万个WiFi密码却未经加密　黑客可轻易进行攻击

美国科技网站TechCrunch周一（22日）报道，适用于Android系统的免费热门WiFi服务搜寻应用程式“WiFi Finder”拥有超过200万个WiFi密码的数据库，但这些密码全都没有经过加密，形成严重的资讯安全漏洞；报道又指，该程式的开发商相信是一间来自中国的公司。

“WiFi Finder”能让使用者搜寻所在地附近的WiFi服务，只要用家打开该程式，就可以看到附近有哪些可用的WiFi热点。由于用家可以将WiFi的密码上载至该程式的数据库，让其他用家亦可以使用，所以资料库上就记载了不少WiFi的位置和登入密码等资料。

本来这样的WiFi共享想法很好，因为每个人有需要时便可透过程式来上网，但荷兰网络安全机构GDI基金会安全研究员贾因（Sanyam Jain）就发现程式的数据库存有每个WiFi的名称、精确的地理位置、基础服务组识别码（BSSID）以及WiFi密码，但数据库并未受到妥善的保护，任何人都可以进入和下载资料，因此存在安全风险。

贾因表示，他花了逾两周时间尝试联络开发商，但没有获得回应，最终只好联络云端运算平台公司DigitalOcean，直接把该数据库移除。

报道亦指，虽然开发商声称该程式仅提供公用WiFi热点的密码，但数据库内却存有无数的个人用户WiFi热点位置及对应的密码。虽然这些私人WiFi密码并没有包含用户的联络资料，但如果黑客想攻击某个特定的私人互联网，便可透过资料库中的地理位置资料轻易进行攻击，例如登入帐户修改无线WiFi的设定，截取登入用家的传输数据，或更改DNS伺服器将登入的用家导向恶意网站。

（综合报道）