News Datenleck: WiFi Finder speicherte zwei Millionen WLAN-Passwörter

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.150
Die von mehr als 100.000 Anwendern genutzte Hotspot-Finder-App „WiFi Finder“ hat mit einem großen Datenleck zu kämpfen: Über eine ungeschützte Datenbank konnte jederzeit auf zwei Millionen Nutzer-Einträge zugegriffen werden – darunter auch Zugangsdaten zu privaten drahtlosen Netzwerken.

Zur News: Datenleck: WiFi Finder speicherte zwei Millionen WLAN-Passwörter
 
Viel relevanter ist wohl warum der Entwickler den Kram unverschlüsselt gespeichert hat.
 
War bestimmt keine Absicht, auch private WLANs zu erfassen :rolleyes: und aus China (bashing starts in 1,2,3....)
 
  • Gefällt mir
Reaktionen: Mar1u5 und GTrash81
Wie kommt die App an das Passwort eines verschlüsselten Netzwerks? Bekommt jede App bei entsprechender Anforderung nach Installation mein persönliches WLAN-Passwort???
Ich dachte Android reicht sowas nur "weiter", also gibt intern sein "ok", aber das eigentliche Passwort gibt es nicht her?
 
Ob die Passwörter von öffentlichen WLANs nun verschlüsselt sind oder nicht ist doch irrelevant. Diese sind doch in dem Fall sowieso öffentlich.
Die viel größere Frage ist wies es private WLANs in die Datenbank schaffen. Werden hier einfach wild alle WLAN Passwörter geteilt?

Generell sind alle Arten von Online Passwortspeichern abzulehnen. Passwörter dürfen maximal lokal gespeichert werden. Ich verwende hier am liebsten verschlüsselte RAR Archive. Allerdings sollte auch die Datei nicht Passwort.txt heißen für den Fall dass sie in den temporären Dateien landet.
 
typisch Android, man darf halt nicht jeden mist installieren, weil Google das nie gebacken bekommt.
Sie wollen ja auch viele Daten und wen sie alles zu machen, drehen sie sich ja selbst die Quelle ab.
Deshalb genau prüfen was man installiert (Berechtigungen) und ich liebe mein Android ohne Google-Dienste :love:
 
  • Gefällt mir
Reaktionen: espiritup, Mister79 und Kazuja
Und wo ist das Problem?
Der Aufreger hier in dem Artikel ist ja, dass eine Datenbank mit WLAN Passwörtern frei Verfügbar über das Netzwerk erreichbar ist.
Über die App konnten die Daten genauso eingesehen werden.

Die Passworte wurden (Laut TechCrunch, der Quelle die Computerbase hier anführt) wohl freiwillig von den Benutzern hochgeladen. Wo hat der Autor die Informationen für den Abschnitt denn her?
Dass dabei aber auch Passwörter des eigenen oder anderer privater drahtloser Netzwerke gespeichert werden, dürfte für viele Nutzer dagegen neu sein.

Die Datenbank ist also letztlich eine Sammlung von WLAN Punkten und deren Zugangsdaten, die von den Benutzern der App freiwillig hochgeladen wurden. Das ist doch schön? Nirgends wurde bewiesen, oder auch nur glaubhaft festgestellt, dass die Access Points nicht freiwillig zur Verfügung gestellt wurden. Bei Freifunk & Co geschieht das ja auch. Und auch in "Residential Areas". Dass die Zugangsdaten wohl von Privatleuten sind wurde nur anhand der Geolocation festgemacht.

Meiner Meinung nach wird hier ein nicht vorhandenes Problem aufgebauscht. Sollte jemand die WLAN Zugangsdaten von Bekannten dort hochgeladen haben ist das zwar vielleicht sogar strafbar, die Datenbank an sich ist aber meiner Meinung nach kein Problem.
 
  • Gefällt mir
Reaktionen: JM31337 und FranzvonAssisi
@Sack148 in diesem Fall magst Du recht haben, jedoch bin ich der Meinung, dass Google wie z.B.: auch Appel hier mehr Verantwortung übernehmen müsste und entsprechend zertifizieren müsste, damit es keinen Mißbrauch geben kann
 
MoonTower schrieb:
Ich dachte Android reicht sowas nur "weiter", also gibt intern sein "ok", aber das eigentliche Passwort gibt es nicht her?

Je nach Einstellung (oder nicht Einstellung) werden sämtliche Passwörter auf deinem Android in Googles Cloud hochgeladen, um dein "Nutzererlebnis zu verbessern", indem bei einem neuen Smartphone nichts mehr neu eingestellt/eingegeben werden muss.
Deine über die Google Tastatur eingegebenen Dinge werden ebenfalls zu Google geschickt, damit dein "Nutzererlebnis verbessert werden kann", indem bessere Wortvorschläge angezeigt werden oder Werbung mit dem Thema deiner Nachrichten.

Im Endeffekt ist Android nur eine Oberfläche zu den Google Servern, wenn man nichts anpasst. Und selbst dann landet noch ein großer Anteil bei Google.

So funktioniert die neue Welt.
Warte noch länger und es wird keine Consumer Geräte mehr geben, die ausschließlich offline funktionieren.
Vielleicht schon in 20 Jahren?
 
  • Gefällt mir
Reaktionen: espiritup und nosound
Mit "frei" ist gemeint, allgemein bekannte WLAN-Schlüssel. Vermutlich also Hotels, Restaurants, Privatleute, die ihr WLAN öffnen, indem sie den Schlüssel preisgeben. Solche Schlüssel werden in der Datenbank des App-Betreibers gespeichert und an die App-Nutzer verteilt.
DerPessimist schrieb:
landet noch ein großer Anteil bei Google
Hier scheint es weder um Google, noch um Android an sich zu gehen, sondern um die Datenbank des App-Betreibers. Weder Google, noch Android macht gespeicherte WLAN-Schlüssel für Fremde einsehbar, noch werden sie verteilt.

Was jetzt allerdings konkret bei der in der News genannten App schief gelaufen ist, wundert mich auch. Ich kann mir nur vorstellen, dass Nutzer aus "Versehen" ihre eigenen WLAN-Schlüssel eingetippt haben. WLAN-Schlüssel aus einem Android-Geräte auslesen geht meines Wissens nach nur mit Root-Apps.
 
@Wilhelm14
Hier geht es um einen Datenleck und es ist nur eine Frage der Zeit, bis es auch Google trifft. Kein Unternehmen ist oder bleibt sicher.
WLAN Passwörter werden durch die Standard Gerätesicherung von Google in deren Cloud geladen und Google hat in der Vergangenheit sogar aktiv mit deren Google / Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt. So ein Programm zum Einsammeln wird schließlich nicht durch Zufall von einem ganzen Team über Wochen oder Monate geschrieben.
 
Tja es hat schon einen Grund, warum mein eigenes WLAN versteckt ist, verschlüsselt ist und nur autorisierte MAC-Adressen rein lässt. Und auch dann nur einen Zugriff auf das Gästenetzwerk zulässt.
 
SSID "verstecken" bringt nichts, WLAN-Scanner zeigen dann eben dein WLAN ohne SSID an. Nur weil du deine Nummernschilder vom Auto abschraubst, ist es ja nicht unsichtbar. Verschlüsselt ist richtig, sofern du niemanden den Schlüssel gibst. Stellt sich die Frage, ob Nutzer ihren Schlüssel der App genannt haben oder wie das überhaupt aussah.
DerPessimist schrieb:
Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt
Die Autos haben doch keine WLAN-Schlüssel eingesammelt, wie sollte das gehen? Die Autos haben zur SSID/BSSID/dem AP die Geokoordinaten gespeichert um Standortbestimmung auch ohne GPS zu ermöglichen. Das macht eigentlich jedes Smartphone, auch ohne Google. Ob man das mag oder nicht, steht auf einem anderen Blatt. Der Skandal bei der Streetview-Sammlung war, dass Google das zuerst heimlich gemacht, dann bei Aufdeckung verneint und erst im dritten Anlauf bestätigt hat.
 
Leider mal wieder ein Artikel über Security Themen - und wieder passts irgendwo hinten und vorne nicht...

Keine Ahnung was hier wirklich das Problem sein soll. Wie soll eine App zwischen öffentlichen und nicht öffentlichen SSIDs unterscheiden?? Unmöglich auf technischer Seite. Zudem könnten Einige der Einträge auch auf die ganzen ISP-privat-Hotspot Funktionen hindeuten.

Wieder viel Panikmache um gar nichts. Zudem die Quelle auch generell mal mit bspw. diesem Punkt hier:
"With access to a network, an attacker may be able to modify router settings to point unsuspecting users to malicious websites by changing the DNS server, a vital system used to convert web addresses into the IP addresses used to locate web servers on the internet. When on a network, an attacker also can read the unencrypted traffic that goes across the wireless network, allowing them to steal passwords and secrets."
einfach völligen Blödsinn schreibt. Nur weil er im WLAN ist kommt der lange nicht auf den Router. Auch das mit dem unencrypted Traffic - natürlich kann der, der im WLAN "drin" ist, unencrypted Traffic potentiell mitlesen. Wer das nicht will, soll einfach niemanden in sein WLAN lassen oder sich Gedanken über den Schutz machen.
Der PSK zur SSID wandert nicht von allein in so eine App/Datenbank.

Im Endeffekt ist so ne Meldung einfach nur eine Bestätigung mehr, dass man A) auf Jedenfall externe nicht vertrauenswürdige, weil nicht zu 100% in der eigenen Hoheit befindlichen Geräte in eine seperate Gäste-SSID packen sollte und B) zyklisch die Zugänge zu so einer Art Gästezugang ändern sollte.
Jeder, dem man seinen WLAN Zugang gibt ist potentiell eine Gefahr für das interne Netz... Selbst schuld wer das freiwillig macht.

Chillaholic schrieb:
Viel relevanter ist wohl warum der Entwickler den Kram unverschlüsselt gespeichert hat.

Wozu willst du das verschlüsseln? Die App hat die Aufgabe, dass du als Nutzer an die Daten ran kommst. Da braucht es nichts zu verschlüsseln. Selbst WENN es verschlüsselt abgelegt wäre - nimmst du halt die App und kommst wieder an die Daten.

andr_gin schrieb:
Die viel größere Frage ist wies es private WLANs in die Datenbank schaffen. Werden hier einfach wild alle WLAN Passwörter geteilt?

Gegenfrage, was macht ein WLAN zu einem privaten WLAN oder zu einem öffentlichen WLAN??
-> technisch gibt es da schlicht keinen Aufhänger für. Unmöglich für eine App zu trennen.

Sack148 schrieb:
Meiner Meinung nach wird hier ein nicht vorhandenes Problem aufgebauscht.

Ich denke mal eher, dass die seitens CB benannte Quelle das Thema überhaupt nicht verstanden hat und auf Basis von gefährlichem Halbwissen dann so ne Panik-Meldung entstanden ist.
Warum denke ich das? Schau dir nur mal die Begründung an was die Quelle meint, warum es da um viele private WLAN Zugänge gehen soll? -> die meinen, weil es laut Geolokation in Wohngebieten zu finden ist.
-> was ist mit Provider Hotspots? Keine Ahnung ob das in den Staaten anders läuft als bei "uns" - aber bei uns sind diese Hotspot Zugänge bspw. bei der Telekom durchaus vorhanden. Und andere haben sowas ziemlich sicher auch...

Desweiteren die pseudotechnische Erklärung, siehe oben schon erwähnt. WLAN Access <> Router Access. Kein Plan, aber glaubwürdig ist so eine Quelle nicht so ganz ohne basics...

DerPessimist schrieb:
WLAN Passwörter werden durch die Standard Gerätesicherung von Google in deren Cloud geladen und Google hat in der Vergangenheit sogar aktiv mit deren Google / Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt.

Quelle für diese Behauptung?

Wir brauchen uns sicher nix vormachen, es ist potentiell möglich auch in WPA2 eigentlich nicht einsehbare Daten zumindest in der Theorie mitzulesen.
Aber was in der Form so einfach nicht geht ist irgendwo mit dem Auto langzufahren und ne Datenbank mit WLAN PSKs zu füttern...

Und was meine ich auch aktuell technisch nicht möglich ist, ist aus dem Mitschnitt der Datenpakete aus der "Luft" ein für einen Client nutzbaren PSK zu extrahieren, so dass der Client sich regulär in das WLAN einklinken könnte.
 
  • Gefällt mir
Reaktionen: Valeria
Zurück
Oben