Milhares de usuários de um aplicativo chamado WiFi Finder, cujo objetivo declarado é, obviamente, localizar e fornecer credenciais para hotspots de Wi-Fi públicos, involuntariamente enviaram suas próprias senhas de Wi-Fi doméstico para o banco de dados do aplicativo, que agora vazou online.

O TechCrunch noticiou na segunda-feira (22) que o aplicativo — que parece ter sede na China — foi usado por mais de cem mil pessoas para coletar mais de dois milhões de senhas Wi-Fi globalmente. O banco de dados inclui nomes de rede (SSID), geolocalização precisa e senhas em texto simples, entre outros dados.

O aplicativo permite que os usuários façam upload de listas de senhas Wi-Fi armazenadas, mas não tem nenhum mecanismo para diferenciar entre hotspots públicos e redes domésticas. Milhares de usuários só nos EUA aparentemente não notaram isso, sem falar nas falhas óbvias do desenvolvedor do aplicativo.

O banco de dados em si foi descoberto por Sanyam Jain, pesquisador de segurança e membro da GDI Foundation, informou o TechCrunch.

Durante mais de duas semanas, Jain e o repórter de segurança Zack Whittaker tentaram entrar em contato com a empresa por trás do aplicativo, que está listada como “Proofusion” na loja Google Play. Eles não tiveram sucesso. Por fim, o host de nuvem DigitalOcean interveio e deixou o banco de dados offline.

Embora as potenciais consequências dessa bagunça sejam extremas, elas são provavelmente minimizadas pelo fato de que os atacantes precisariam visar individualmente as famílias contidas no banco de dados (embora isso seja mais provável graças aos dados de geolocalização expostos pelo banco de dados).

Hipoteticamente, um invasor poderia usar as credenciais para brincar com as configurações do roteador, interceptar logins, espalhar malware pela rede e assumir o controle de dispositivos de casa inteligente, como câmeras de segurança. No entanto, os cibercriminosos de carreira provavelmente achariam esse processo entediante. Hoje em dia, é muito mais fácil enviar um único link malicioso para alguns milhões de usuários e ver quem morde a isca.

O que é horrível é saber que tantas pessoas continuam baixando aplicativos desenvolvidos por empresas das quais ninguém nunca ouviu falar, dando-lhes acesso a todos os tipos de informações pessoais sobre si mesmos e sobre os outros.

Baixar o WiFi Finder, por exemplo, exigia que os usuários dessem acesso aos seus locais, listas completas de contatos — ou seja, números de telefone e contas de e-mail de todos os seus amigos e familiares e, em alguns casos, aniversários e perfis de rede social —, assim como, sem nenhum motivo específico, a capacidade de ler, modificar e excluir dados em seus smartphones.

Se você ainda não sabia, não use aplicativos que exigem essas permissões.

A própria loja Google Play segue sendo um espetáculo de bagunça total e uma das maneiras mais fáceis de espalhar rapidamente malware para as massas. Pesquisadores em janeiro, por exemplo, descobriram que nove milhões de donos de Android foram infectados por dezenas de aplicativos maliciosos. Um mês antes, um outro grupo de pesquisadores encontrou 22 aplicativos baixados mais de dois milhões de vezes que abriram secretamente pequenas janelas de navegador e clicaram repetidamente em anúncios, drenando as baterias dos usuários. E, no mês passado, o Google excluiu cerca de 200 aplicativos infectados com adware que haviam sido baixados quase 150 milhões de vezes. A lista continua.

Ainda que seja verdade que grandes empresas renomadas também podem vazar ou simplesmente abusar intencionalmente de dados de usuários — se você tiver instalado um produto do Facebook em seu telefone, deus te abençoe —, os usuários podem reduzir o risco de serem sacaneados por um aplicativo malicioso e/ou não confiável, tirando um tempinho para (no mínimo) buscar no Google o nome do desenvolvedor do aplicativo, da mesma forma como você faria ao escolher um prestador de serviço.

Você deve ser particularmente cético quando um serviço é oferecido gratuitamente. Se uma pessoa aleatória se oferecesse para consertar problemas no seu carro de graça, você provavelmente (eu espero) recusaria. Baixar um aplicativo aleatório com este nível de acesso aos seus dados é praticamente igual a desbloquear seu telefone e entregá-lo a um estranho no shopping.

Basta um exame rápido da breve política de privacidade do WiFi Finder — que inclui um link para um “Gerador de Política de Privacidade de Aplicativos” (kkkkk) — para perceber que a probabilidade de algo dar errado é muito alta. Então, por favor, apenas exerça um pouco de bom senso.

[TechCrunch]