ホットスポット検索アプリが200万件以上のWi-Fiパスワードを流出させた

人気のAndroid用ホットスポット検索アプリが200万箇所以上のWi-Fiネットワークのパスワードを流出させた。

何千人ものユーザーがダウンロードしたそのアプリを使うと、近くのWi-Fiネットワークを見つけることができる。ユーザーがWi-Fiパスワードを端末からアップロードすると、他のユーザーがそれを利用できる。

しかし、200万以上のWi-Fiパスワードが保存されたそのデータベースが保護されずに露出され、誰でも中身をアクセスして一括ダウンロードできる状態になっていた。

セキュリティー研究者でGDI FoundationのメンバーであるSanyam Jai氏がこのデータベースを発見し、TechCrunchに報告した。

本誌は2週間以上をかけて中国に拠点があると思われるデベロッパーに接触を試みたが成功していない。最終的にホスト運営者のDigitalOceanに連絡をとったところ、同社はその日のうちにデータベースを閉鎖した。

「我々はユーザーに告知し、データベースがさらされていたサーバーをオフラインにした」と広報担当者が本誌に伝えた。

各レコードには、Wi-Fiネットワークの名前、正確な位置情報、基本サービス識別子(BSSID)およびネットワークパスワードが平文テキスト形式で保存されていた

アプリの開発者は、公開ホットスポットのパスワードのみを提供していると称していたが、調べたところ大量の家庭用Wi-Fiネットワークのデータが見つかった。流出したデータにネットワーク所有者の連絡先情報は含まれていないが、位置情報を地図に照らし合わせたところ、完全な居住エリアや企業の存在しない地域が見つかった。

同アプリは、ユーザーがネットワークオーナーの了解を得ることを要求しておらず、Wi-Fiネットワークの不正アクセスを可能にしていた。ネットワークにアクセスすることで、攻撃者がルーター設定を変更してDNSサーバーを改変し、無防備なユーザーを悪意のあるウェブサイトに誘導する可能性がある。攻撃者は、ネットワークを流れる暗号化されていなデータを読み取り、パスワードや秘密を盗み出すこともできる。

流出した数万件はのWi-Fiパスワードは、米国拠点のネットワークのものだった。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。