Aplicación WiFi Finder expone 2 millones de contraseñas de redes inalámbricas
Sorpresa, sorpresa: miles de usuarios descargan aplicación misteriosa, y esta termina exponiendo las contraseñas de sus redes de WiFi.
Resulta que la aplicación WiFi Finder, que tenía sobre 100,000 descargas antes de ser removida de Google Play, estaba exponiendo datos de usuarios. La aplicación prometía buscar hotspots cercanos, ubicarlos en un mapa, y permitía a los usuarios almacenar las contraseñas para sus hotspots WiFi, a fin de poder accesarlas desde cualquier dispositivo. Sin embargo, contrario a lo que decía el creador de la aplicación, esta no distinguía entre hotspots públicos y redes de WiFi personales. Más bien, la aplicación subía todas las contraseñas de WiFi en el dispositivo del usuario a una base de datos.
Peor aún, un investigador llamado Sanyam Jain encontró que WiFi Finder subía estas contraseñas a una base de datos sin cifrado y que podía ser accedida libremente por cualquier usuario que la encontrara. Esto significa que cualquier persona podría tener acceso a esta base de datos y los 2,000,000 de contraseñas que contenía.
El investigador trató de contactar al creador de la aplicación, Proofusion, pero no recibieron respuesta. Contactaron entonces a la compañía que proveía hospedaje de la base de datos, DigitalOcean, quien removió la base de datos en menos de un día.
La base de datos no expuso datos de contacto, pero si contenía contraseñas y ubicaciones geográficas de las redes.
REVISE LOS PERMISOS DE SUS APLICACIONES. Este incidente es un ejemplo de nuestra confianza ciega en los mercados de aplicaciones. Al instalar cualquier aplicación, es importante que revise cuidadosamente los permisos que le pide. Si revisa los permisos de WiFi Finder, verá que solicita ubicaciones (razonable, dada la funcionalidad de ubicar los hotspots en un mapa), acceso completo a sus listas de contactos (incluyendo nombres, emails, y números de teléfono), y la poderosísima abilidad de leer, modificar y borrar datos o archivos en su celular. ¿Por qué necesitaría esos últimos dos permisos?
Si bien Google y Apple toman medidas para mantener sus mercados de aplicaciones limpios, no debe depender de ellos. Las estadísticas más recientes indican que el Play Store y Apple Store tienen 2.6 millones y 2.1 millones de aplicaciones, respectivamente. Aún si cada una tiene solo 0.1% de aplicaciones infectadas, esto representa 2,600 aplicaciones y 2,100 aplicaciones infectadas, respectivamente.
Entonces, hoy más que nunca es crucial que aprenda a revisar los permisos que sus aplicaciones solicitan, y usar un poco de sentido común al momento de decidir si aceptarlos o no.
