Auf mehr als 100.000 Smartphones half die App WiFi Finder beim Verbinden mit öffentlichen Hotspots. Dabei sammelte diese App des chinesischen Programmierers Proofusion in vielen Fällen aber auch private Zugangsdaten der Benutzer.

Sicherheitsforscher Sanyam Jain hat jetzt auf einem Server eine ungeschützte Datenbank mit über zwei Millionen WLAN-Zugangsdaten entdeckt.

Apps WiFi Finder und Call Recorder aus dem Play Store entfernt

Inzwischen wurde nicht nur der WiFi Finder, sondern auch die zweite von Proofusion veröffentlichte App Call Recorder zum Aufzeichnen von Telefongesprächen aus Googles Play Store entfernt.

WiFi Finder hat offensichtlich keine ausreichenden Überprüfungsmechanismen oder Einschränkungen in Bezug auf die an den Server zu übermittelnden Daten, so dass nach Angaben von TechCrunch auch Zugangsdaten zu Heimnetzwerken in Proofusions Datenbank gespeichert wurden.

Die geleakten Daten der WLAN-Zugänge

Im Detail stehen in der Datenbank zu den privaten WLANs jeweils der Netzwerkname, die Geokoordinaten, der Basic Service Set Identifier (BSSID) als eindeutige Kennung der Funkzelle eines Access Points und das Zugangspasswort im Klartext.

Wer noch eine dieser Apps auf seinem Smartphone hat, sollte sich besser mit einer Alternative anfreunden…