News Datenleck: WiFi Finder speicherte zwei Millionen WLAN-Passwörter

mischaef

Kassettenkind
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.845
Die von mehr als 100.000 Anwendern genutzte Hotspot-Finder-App „WiFi Finder“ hat mit einem großen Datenleck zu kämpfen: Über eine ungeschützte Datenbank konnte jederzeit auf zwei Millionen Nutzer-Einträge zugegriffen werden – darunter auch Zugangsdaten zu privaten drahtlosen Netzwerken.

Zur News: Datenleck: WiFi Finder speicherte zwei Millionen WLAN-Passwörter
 

Chillaholic

Fleet Admiral
Dabei seit
Jan. 2008
Beiträge
10.714
Viel relevanter ist wohl warum der Entwickler den Kram unverschlüsselt gespeichert hat.
 

Demon_666

Lieutenant
Dabei seit
Dez. 2017
Beiträge
736
War bestimmt keine Absicht, auch private WLANs zu erfassen :rolleyes: und aus China (bashing starts in 1,2,3....)
 

MoonTower

Cadet 3rd Year
Dabei seit
Apr. 2015
Beiträge
47
Wie kommt die App an das Passwort eines verschlüsselten Netzwerks? Bekommt jede App bei entsprechender Anforderung nach Installation mein persönliches WLAN-Passwort???
Ich dachte Android reicht sowas nur "weiter", also gibt intern sein "ok", aber das eigentliche Passwort gibt es nicht her?
 

andr_gin

Lt. Commander
Dabei seit
Jan. 2004
Beiträge
1.958
Ob die Passwörter von öffentlichen WLANs nun verschlüsselt sind oder nicht ist doch irrelevant. Diese sind doch in dem Fall sowieso öffentlich.
Die viel größere Frage ist wies es private WLANs in die Datenbank schaffen. Werden hier einfach wild alle WLAN Passwörter geteilt?

Generell sind alle Arten von Online Passwortspeichern abzulehnen. Passwörter dürfen maximal lokal gespeichert werden. Ich verwende hier am liebsten verschlüsselte RAR Archive. Allerdings sollte auch die Datei nicht Passwort.txt heißen für den Fall dass sie in den temporären Dateien landet.
 

lowRange

Lt. Junior Grade
Dabei seit
Feb. 2018
Beiträge
477
typisch Android, man darf halt nicht jeden mist installieren, weil Google das nie gebacken bekommt.
Sie wollen ja auch viele Daten und wen sie alles zu machen, drehen sie sich ja selbst die Quelle ab.
Deshalb genau prüfen was man installiert (Berechtigungen) und ich liebe mein Android ohne Google-Dienste :love:
 

Sack148

Newbie
Dabei seit
Jan. 2017
Beiträge
4
Und wo ist das Problem?
Der Aufreger hier in dem Artikel ist ja, dass eine Datenbank mit WLAN Passwörtern frei Verfügbar über das Netzwerk erreichbar ist.
Über die App konnten die Daten genauso eingesehen werden.

Die Passworte wurden (Laut TechCrunch, der Quelle die Computerbase hier anführt) wohl freiwillig von den Benutzern hochgeladen. Wo hat der Autor die Informationen für den Abschnitt denn her?
Dass dabei aber auch Passwörter des eigenen oder anderer privater drahtloser Netzwerke gespeichert werden, dürfte für viele Nutzer dagegen neu sein.
Die Datenbank ist also letztlich eine Sammlung von WLAN Punkten und deren Zugangsdaten, die von den Benutzern der App freiwillig hochgeladen wurden. Das ist doch schön? Nirgends wurde bewiesen, oder auch nur glaubhaft festgestellt, dass die Access Points nicht freiwillig zur Verfügung gestellt wurden. Bei Freifunk & Co geschieht das ja auch. Und auch in "Residential Areas". Dass die Zugangsdaten wohl von Privatleuten sind wurde nur anhand der Geolocation festgemacht.

Meiner Meinung nach wird hier ein nicht vorhandenes Problem aufgebauscht. Sollte jemand die WLAN Zugangsdaten von Bekannten dort hochgeladen haben ist das zwar vielleicht sogar strafbar, die Datenbank an sich ist aber meiner Meinung nach kein Problem.
 

lowRange

Lt. Junior Grade
Dabei seit
Feb. 2018
Beiträge
477
@Sack148 in diesem Fall magst Du recht haben, jedoch bin ich der Meinung, dass Google wie z.B.: auch Appel hier mehr Verantwortung übernehmen müsste und entsprechend zertifizieren müsste, damit es keinen Mißbrauch geben kann
 

Wolfi Scheuble

Lieutenant
Dabei seit
Aug. 2017
Beiträge
676
Ich dachte Android reicht sowas nur "weiter", also gibt intern sein "ok", aber das eigentliche Passwort gibt es nicht her?
Je nach Einstellung (oder nicht Einstellung) werden sämtliche Passwörter auf deinem Android in Googles Cloud hochgeladen, um dein "Nutzererlebnis zu verbessern", indem bei einem neuen Smartphone nichts mehr neu eingestellt/eingegeben werden muss.
Deine über die Google Tastatur eingegebenen Dinge werden ebenfalls zu Google geschickt, damit dein "Nutzererlebnis verbessert werden kann", indem bessere Wortvorschläge angezeigt werden oder Werbung mit dem Thema deiner Nachrichten.

Im Endeffekt ist Android nur eine Oberfläche zu den Google Servern, wenn man nichts anpasst. Und selbst dann landet noch ein großer Anteil bei Google.

So funktioniert die neue Welt.
Warte noch länger und es wird keine Consumer Geräte mehr geben, die ausschließlich offline funktionieren.
Vielleicht schon in 20 Jahren?
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
17.459
Mit "frei" ist gemeint, allgemein bekannte WLAN-Schlüssel. Vermutlich also Hotels, Restaurants, Privatleute, die ihr WLAN öffnen, indem sie den Schlüssel preisgeben. Solche Schlüssel werden in der Datenbank des App-Betreibers gespeichert und an die App-Nutzer verteilt.
landet noch ein großer Anteil bei Google
Hier scheint es weder um Google, noch um Android an sich zu gehen, sondern um die Datenbank des App-Betreibers. Weder Google, noch Android macht gespeicherte WLAN-Schlüssel für Fremde einsehbar, noch werden sie verteilt.

Was jetzt allerdings konkret bei der in der News genannten App schief gelaufen ist, wundert mich auch. Ich kann mir nur vorstellen, dass Nutzer aus "Versehen" ihre eigenen WLAN-Schlüssel eingetippt haben. WLAN-Schlüssel aus einem Android-Geräte auslesen geht meines Wissens nach nur mit Root-Apps.
 

Wolfi Scheuble

Lieutenant
Dabei seit
Aug. 2017
Beiträge
676
@Wilhelm14
Hier geht es um einen Datenleck und es ist nur eine Frage der Zeit, bis es auch Google trifft. Kein Unternehmen ist oder bleibt sicher.
WLAN Passwörter werden durch die Standard Gerätesicherung von Google in deren Cloud geladen und Google hat in der Vergangenheit sogar aktiv mit deren Google / Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt. So ein Programm zum Einsammeln wird schließlich nicht durch Zufall von einem ganzen Team über Wochen oder Monate geschrieben.
 

Shririnovski

Commander
Dabei seit
Sep. 2012
Beiträge
2.490
Tja es hat schon einen Grund, warum mein eigenes WLAN versteckt ist, verschlüsselt ist und nur autorisierte MAC-Adressen rein lässt. Und auch dann nur einen Zugriff auf das Gästenetzwerk zulässt.
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
17.459
SSID "verstecken" bringt nichts, WLAN-Scanner zeigen dann eben dein WLAN ohne SSID an. Nur weil du deine Nummernschilder vom Auto abschraubst, ist es ja nicht unsichtbar. Verschlüsselt ist richtig, sofern du niemanden den Schlüssel gibst. Stellt sich die Frage, ob Nutzer ihren Schlüssel der App genannt haben oder wie das überhaupt aussah.
Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt
Die Autos haben doch keine WLAN-Schlüssel eingesammelt, wie sollte das gehen? Die Autos haben zur SSID/BSSID/dem AP die Geokoordinaten gespeichert um Standortbestimmung auch ohne GPS zu ermöglichen. Das macht eigentlich jedes Smartphone, auch ohne Google. Ob man das mag oder nicht, steht auf einem anderen Blatt. Der Skandal bei der Streetview-Sammlung war, dass Google das zuerst heimlich gemacht, dann bei Aufdeckung verneint und erst im dritten Anlauf bestätigt hat.
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
286
Leider mal wieder ein Artikel über Security Themen - und wieder passts irgendwo hinten und vorne nicht...

Keine Ahnung was hier wirklich das Problem sein soll. Wie soll eine App zwischen öffentlichen und nicht öffentlichen SSIDs unterscheiden?? Unmöglich auf technischer Seite. Zudem könnten Einige der Einträge auch auf die ganzen ISP-privat-Hotspot Funktionen hindeuten.

Wieder viel Panikmache um gar nichts. Zudem die Quelle auch generell mal mit bspw. diesem Punkt hier:
"With access to a network, an attacker may be able to modify router settings to point unsuspecting users to malicious websites by changing the DNS server, a vital system used to convert web addresses into the IP addresses used to locate web servers on the internet. When on a network, an attacker also can read the unencrypted traffic that goes across the wireless network, allowing them to steal passwords and secrets."
einfach völligen Blödsinn schreibt. Nur weil er im WLAN ist kommt der lange nicht auf den Router. Auch das mit dem unencrypted Traffic - natürlich kann der, der im WLAN "drin" ist, unencrypted Traffic potentiell mitlesen. Wer das nicht will, soll einfach niemanden in sein WLAN lassen oder sich Gedanken über den Schutz machen.
Der PSK zur SSID wandert nicht von allein in so eine App/Datenbank.

Im Endeffekt ist so ne Meldung einfach nur eine Bestätigung mehr, dass man A) auf Jedenfall externe nicht vertrauenswürdige, weil nicht zu 100% in der eigenen Hoheit befindlichen Geräte in eine seperate Gäste-SSID packen sollte und B) zyklisch die Zugänge zu so einer Art Gästezugang ändern sollte.
Jeder, dem man seinen WLAN Zugang gibt ist potentiell eine Gefahr für das interne Netz... Selbst schuld wer das freiwillig macht.

Viel relevanter ist wohl warum der Entwickler den Kram unverschlüsselt gespeichert hat.
Wozu willst du das verschlüsseln? Die App hat die Aufgabe, dass du als Nutzer an die Daten ran kommst. Da braucht es nichts zu verschlüsseln. Selbst WENN es verschlüsselt abgelegt wäre - nimmst du halt die App und kommst wieder an die Daten.

Die viel größere Frage ist wies es private WLANs in die Datenbank schaffen. Werden hier einfach wild alle WLAN Passwörter geteilt?
Gegenfrage, was macht ein WLAN zu einem privaten WLAN oder zu einem öffentlichen WLAN??
-> technisch gibt es da schlicht keinen Aufhänger für. Unmöglich für eine App zu trennen.

Meiner Meinung nach wird hier ein nicht vorhandenes Problem aufgebauscht.
Ich denke mal eher, dass die seitens CB benannte Quelle das Thema überhaupt nicht verstanden hat und auf Basis von gefährlichem Halbwissen dann so ne Panik-Meldung entstanden ist.
Warum denke ich das? Schau dir nur mal die Begründung an was die Quelle meint, warum es da um viele private WLAN Zugänge gehen soll? -> die meinen, weil es laut Geolokation in Wohngebieten zu finden ist.
-> was ist mit Provider Hotspots? Keine Ahnung ob das in den Staaten anders läuft als bei "uns" - aber bei uns sind diese Hotspot Zugänge bspw. bei der Telekom durchaus vorhanden. Und andere haben sowas ziemlich sicher auch...

Desweiteren die pseudotechnische Erklärung, siehe oben schon erwähnt. WLAN Access <> Router Access. Kein Plan, aber glaubwürdig ist so eine Quelle nicht so ganz ohne basics...

WLAN Passwörter werden durch die Standard Gerätesicherung von Google in deren Cloud geladen und Google hat in der Vergangenheit sogar aktiv mit deren Google / Streetview Autos beim Durchfahren Passwörter der Umgebung eingesammelt.
Quelle für diese Behauptung?

Wir brauchen uns sicher nix vormachen, es ist potentiell möglich auch in WPA2 eigentlich nicht einsehbare Daten zumindest in der Theorie mitzulesen.
Aber was in der Form so einfach nicht geht ist irgendwo mit dem Auto langzufahren und ne Datenbank mit WLAN PSKs zu füttern...

Und was meine ich auch aktuell technisch nicht möglich ist, ist aus dem Mitschnitt der Datenpakete aus der "Luft" ein für einen Client nutzbaren PSK zu extrahieren, so dass der Client sich regulär in das WLAN einklinken könnte.
 
Top