ИБ-специалист и член GDI Foundation Саньям Джейн (Sanyam Jain) обнаружил, что приложение WiFi Finder для Android, загруженное более 100 000 раз, хранило около двух миллионов паролей от домашних сетей Wi-Fi. БД приложения включала в себя SSID, данные о геолокации, а также пароли в формате простого текста и другую информацию.
Как можно понять по названию, WiFi Finder предназначалось для поиска публичных точек доступа, и пользователи могли делиться с приложением (и с другими пользователями) списками известных им Wi-Fi сетей и учетными данными для них. Однако приложение попросту не имело механизма, позволяющего различать публичные точки доступа и домашние сети, хотя в описании своего продукта разработчики заявляли обратное. В итоге в базе данных приложения хранились миллионы паролей от обычных домашних сетей, которые вовсе не задумывались как публичные. В сочетании с точными геолокационными данными о каждой Wi-Fi сети, для многих пользователей, не подозревающих о компрометации своих сетей, это могло стать большой проблемой.
На протяжении нескольких недель исследователь вместе с журналистами издания TechCrunch пытались уведомить об этом недосмотре разработчиков приложения, китайскую фирму Proofusion. Однако эти попытки ни к чему не привели, и в итоге специалистам пришлось обратиться напрямую к хостеру DigitalOcean, который увел базу в оффлайн меньше чем через день после получения предупреждения.
Эксперты отмечают, что корень проблемы в данном случае заключается в том, что пользователи продолжают устанавливать на свои устройства приложения неизвестных разработчиков, и своими руками выдают им все необходимые и не очень права. Так, при установке WiFi Finder пользователи должны были дать приложению доступ к данным о своем местоположении, полному списку контактов (то есть, номерам телефонов, email-аккаунтам всех своих друзей и членов семьи, а в некоторых случаях, информации о днях рождения и профилях в социальных сетях), а также разрешить WiFi Finder читать, изменять и удалять любые данные.