知名热点搜寻app可能曝露200万用户Wi-Fi密码

如果你手机中有Wi-Fi Finder这款app，或许是移除app并变更Wi-Fi网络密码的时候了。Techcrunch报导Wi-Fi Finder app搜集超过200万笔用户Wi-Fi密码、地点等资料的数据库未设密码公开于网络上，可能让企业及家用Wi-Fi网络门户洞开。

Wi-Fi Finder为一名为JiWire的开发商开发。JiWire 2014年改名为Ninthdecimal。

Wi-Fi Finder 可让手机用户快速搜寻到、并连上邻近Wi-Fi热点的app，也让使用者分享他们Wi-Fi热点供他人使用。中文版Google Play网页显示这款app号称收藏了全球数十万个Wi-Fi热点，下载人次超过50万。

Wi-Fi Finder开发商将用户上传的Wi-Fi资料集结储存在统一数据库内，而GDI安全研究人员Sanyam Jain日前在网络上发现这个数据库未设密码挂在网络上。他进一步发现数据库内含超过200万笔记录，每笔记录都包含Wi-Fi网络名称、精确地点、基础服务设定识别码（Basic Service Set Identifier，BSSID）、以及明码储存的网络密码。

值得注意的是，虽然该app声称只提供公共Wi-Fi热点的密码，但研究人员分析热点的地点资料，发现其中有大量是来自住宅区，显然为一般家用Wi-Fi基地台。

这款app虽提醒手机用户不要随意连上来路不明的Wi-Fi热点，但未设密码的数据库反而也让众多企业、家用或个人Wi-Fi网络资料曝险。一旦这个数据库遭骇客存取，即可能造成入侵公司与家用网络窃取资料、或修改DNS设定导引用户连上恶意网站等后果。

Techcrunch试图连络据信位于中国的JiWire，但二个星期下来连络未果，最后通知代管ISP DigitalOcean才将这公开数据库移除。