Aplicación de Android expuso más de 2 millones de contraseñas de usuarios

WiFi Finder es una aplicación para Android que cuenta con más de 100.000 instalaciones desde marzo de 2018 a la fecha.

Según los portales TechCruch y Sanyam Jain, un investigador de seguridad, la base de datos de WiFi Finder se filtró hace pocos días dejando al descubierto más de dos millones de contraseñas, donde el problema es que muchas de ellas pertenecían a redes residenciales y no sólo a hotspots públicos, como asegura el desarrollador de la aplicación.

La idea es interesante, pero Jain descubrió que la aplicación carga de forma automática todas y cada una de las contraseñas y datos de las redes WiFi que el usuario tiene en su dispositivo. Es decir, cualquier contraseña sin importar que sea una red privada, ya sea domestica o empresarial.

Uno de los problemas que tiene WiFi Finder son los permisos que requiere para funcionar, entre los que se encuentra el acceso a ubicaciones mediante GPS, lista de contactos con números de teléfono, cuentas de correo, fechas de cumpleaños y perfiles en redes sociales, así como la capacidad de leer, modificar y eliminar datos en los smartphones.

Así como WiFi Finder obtuvo una lista de más de dos millones de redes WiFi, donde se incluye la ubicación precisa de cada red hogareña, su BSS ID y la contraseña, la cual está guardada en texto plano. Es decir, la aplicación obtuvo acceso a millones de redes sin el permiso del propietario de dicha red, exponiendo estas WiFi a accesos no autorizados.