Due milioni di password per l'accesso ad altrettante reti wireless sarebbero rimaste esposte a lungo senza protezione in un database di Wi-Fi Finder, una popolare app Android che consente di cercare reti wi-fi vicine per connettersi ad esse automaticamente pur senza possedere le credenziali. A scoprirlo è stato Sanyam Jain, un ricercatore di sicurezza della Fondazione GDI, che ha poi rivelato l'accaduto ai colleghi di TechCrunch.
L'app ha costruito nel tempo una vasta community in oltre 100mila città del mondo, in cui gli utilizzatori possono condividere la propria connessione con gli altri utenti in maniera legale. Questo presuppone però appunto l'esistenza di database in cui sono registrate password, precisa posizione tramite geolocalizzazione e BSSID (Basic Service Set Iderntifier), in modo che chiunque abbia l'app installata possa legalmente effettuare la connessione a una rete condivisa, senza necessità di conoscere i dati in oggetto.
Secondo Jain, una volta scoperto il database esposto, GDI avrebbe trascorso oltre due settimane nel vano tentativo di contattare lo sviluppatore cinese dell'app, risultato irraggiungibile. A questo punto i ricercatori hanno contattato l'host dell'app, DigitalOcean, che in 24 ore dalla segnalazione ha messo offline il database, sostenendo anche di aver avvisato gli utilizzatori coinvolti.
Con l'accesso al network, qualsiasi malintenzionato potrebbe essere in grado di modificare le impostazioni del router, soprattutto per quanto riguarda i DNS, un sistema vitale che si occupa di tradurre gli indirizzi web in indirizzi IP e che potrebbe quindi instradare gli inconsapevoli utenti verso siti malevoli. Gli hacker inoltre sarebbero in grado di leggere tutto il traffico non cifrato che passa attraverso il network, con gli ovvi rischi annessi. La maggior parte degli account coinvolti a quanto pare si troverebbe negli Stati Uniti, ma se siete tra quanti hanno condiviso la propria rete Wi-Fi il consiglio ovviamente è quello di correre a cambiare le credenziali.