L’application mobile « WiFi Finder » a stocké les mots de passe Wi-Fi de ses utilisateurs dans une base de données qui était librement accessible sur la Toile.
L’info
Téléchargée par plus de 100.000 personnes, l’application mobile « WiFi Finder » permet de trouver des réseaux Wi-Fi autour de soi et de partager des accès Wi-Fi entre utilisateurs. Un chercheur en sécurité vient de découvrir que les mots de passe de ces réseaux Wi-Fi partagés étaient stockés en clair dans une base de données en ligne non protégée. Plus de 2 millions identifiants étaient ainsi accessibles à n’importe qui, aussi bien ceux de hotspots publics que de réseaux privés. Alerté par TechCrunch, l’hébergeur a finalement déconnecté cette base.
Ce que cela implique
Cette base de données contenait les données de géolocalisation pour chaque réseau Wi-Fi. N’importe quel pirate pouvait donc localiser des réseaux sans fil de particuliers et, pourquoi pas, s’y connecter pour procéder à des attaques. En théorie, cette application n’est censée partager que les mots de passe de hotspots publics. Mais dans les faits, elle permet également d’accéder à des réseaux Wi-Fi privés. Partager le mot de passe de son réseau Wi-Fi est évidemment une très mauvaise idée. Les utilisateurs de cette application ne se rendaient sans doute pas compte des conséquences.
Le contexte
Toutes les applications mobiles ne se valent pas et il faut toujours vérifier qui les a développées. TechCrunch a essayé de contacter l’éditeur de l’application « WiFi Finder », mais sans succès. Le nom indiqué sur la fiche de Google Play est « Google Commerce Ltd », ce qui laisse supposer une tentative d’usurpation. La même application existe également sur l’App Store, développé par un certain « Yuri Kobets », qui est probablement un nom d’emprunt. Cette application est à fuir.
Source : TechCrunch