News Datenleck: WiFi Finder speicherte zwei Millionen WLAN-Passwörter

R

R.I.P.er

Gast
Und da trägt man dann das Passwort von einen privaten ein?
Ich verstehe den Zusammenhang mit der App auch überhaupt nicht..

Wenn draußen einer mit irgend einer App rumrennt, kann er alles mögliche veranstalten, mein WLAN Passwort wird er trotzdem nie erhalten - wie soll das geschehen?! Also was genau ist jetzt da mit der App gewesen?
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
297
Das beantwortet nicht die Frage - du sprachst von Passwörtern. Das Google generell SSIDs scannt bzw. gescannt hat, ist keine Weltneuheit. Speziell was die Geolocation angeht. Und auch das sowas nur Google macht ist nichts neues. Bspw. tätigt die Firefox Andoid App das ebenso - in welchem Umfang weis ich nicht, aber die App collected die WiFi Infos und der User gibst die Info natürlich preis, weil wahrscheinlich einfach nur "ja" getoucht wird...

Unabhängig davon kommst du aber so ohne weiteres ohne Root Access nicht an die Daten auf deinem Android Phone - bei iOS, kein Plan, da wirds wahrscheinlich aber ähnlich laufen. Mit Root Access geht das bei Android zweifelsfrei. Allerdings sollte man schon wissen was man tut.
Egal - von außen an die PSKs mit nem Auto funktioniert deswegen aber trotzdem nicht :D
 

Wolfi Scheuble

Lieutenant
Dabei seit
Aug. 2017
Beiträge
676
Wenn man die Artikel weiter ließt, wurden auch die Passwörter von schlecht gesicherten Netzen gespeichert und allgemein bei vielen Backups auf beispielsweise Android einfach gespeichert, ohne dass der Nutzer es versteht oder Kenntnis davon hat. Das gilt nicht nur für die Passwörter von WLAN, etc. Das gilt generell für alles, da Google alles was es kann speichert und selbst wenn die Daten nicht genutzt werden, werden die erst mal gespeichert, weil man die in Zukunft vielleicht irgendwie nutzen könnte.
Das Selbe gilt für Facebook, selbst wenn man nichts mit Facebook zu tun haben möchte und nie bei denen angemeldet war.
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
297
Wenn draußen einer mit irgend einer App rumrennt, kann er alles mögliche veranstalten, mein WLAN Passwort wird er trotzdem nie erhalten - wie soll das geschehen?! Also was genau ist jetzt da mit der App gewesen?
Ich kann mir vorstellen, dass der unbedarfte User entsprechend einfach auf Upload gedrückt hat - und schon war der Zugang im Netz. So ne Funktion soll die App wohl bieten.

Ob die App ohne gerootetes Phone aber an die PSKs kommt, ist zumindest ohne Bugusing oder irgendwelcher privilege escalation Lücken mindestens mal fraglich...

Am Ende bleibt hier eigentlich nur über, dass irgendwo eine Ansammlung von Daten frei im Netz verfügbar ist/war, die dort hätte zumindest in der Form nicht sein sollen. Aber selbst wenn das nicht der Fall wäre - Stichwort Datamining, die App spricht auch "nur" ne API auf irgend nem Webserver an, abseits des hier genannten Dumps der/einer DB, im großen Stiel könnte man ziemlich sicher die selben Infos auch alle aus der API ziehen.
Ergänzung ()

Wenn man die Artikel weiter ließt, wurden auch die Passwörter von schlecht gesicherten Netzen gespeichert und allgemein bei vielen Backups auf beispielsweise Android einfach gespeichert, ohne dass der Nutzer es versteht oder Kenntnis davon hat.
Nochmal die Frage, wo steht denn das?

Auch stellt sich mir die Frage, was "schlecht gesicherte Netze" sein sollen? Offene SSIDs haben keine Zugangsdaten, da reicht der Name und gut ist. Alles was in irgend einer Weisen einen PSK oder andere Authentifizierungsmethoden vorraus setzt, lässt sich nicht per vorbeifahrenden Auto abfingern - zumindest nicht in der Form wie die Aussage oben steht. Ich frage doch nicht grundlos nach einem Beleg dafür.


Unabhängig davon ist unbestritten, dass Google und Facebook Datenkranken sind - ändert aber doch nichts an der Frage nach dem Beleg für die Behauptung?
Zumal meines Wissens nach aktuell kein Leak oder bekannter Zugriff auf irgendwelche WLAN-Schlüssel durch Cloudbackups bei Google selbst stattgefunden hat. Was nicht heist, das es sowas nicht gibt oder nie gab. Aber wer behauptet, das wäre so, müsste das doch belegen können??
 

hroessler

Commander
Dabei seit
Okt. 2013
Beiträge
3.020
Wieso speichert man heute noch die Passwörter? Passwörter werden, nicht erst seit heute, mind. gehasht + gesalzen. Dieser Hash wird dann gespeichert und nicht die Passwörter selbst.

Wann wird der Staat endlich empfindliche Strafen gegen solche Fahrlässigkeit verhängen?

greetz
hroessler
 

ripa

Lt. Junior Grade
Dabei seit
Apr. 2004
Beiträge
419
Wieso speichert man heute noch die Passwörter? Passwörter werden, nicht erst seit heute, mind. gehasht + gesalzen. Dieser Hash wird dann gespeichert und nicht die Passwörter selbst.

Wann wird der Staat endlich empfindliche Strafen gegen solche Fahrlässigkeit verhängen?

greetz
hroessler
Einfach mal darüber nachdenken, dann kommt man selbst darauf, warum man die Passwörter in Klarschrift braucht...soviele Antworten von Leuten, die nur die Überschrift gelesen haben...bin ich im Chip Forum gelandet?
 

Tada100

Lt. Commander
Dabei seit
Feb. 2014
Beiträge
1.768
@ripa
Man braucht als Maschine ganz sicher keine Passwörter im Klartext.
In wichtigen Datenbanken , haben die Daten gefälligst verschlüsselt zu sein, schutz vor missbrauch der Daten und so!

Das Leck, und viele andere, zeigen auf in was für einer Wahnwitzigen (Digitalen-) welt wir Leben tuen.
Das Wpa2/3 nicht sicher sind ist ja bekannt, aber wozu die müche machen das PW zu erraten wenn man einfach in die Datenbank X nachschauen kann, da steht es dann auch gleich im Klartext das dechiffrieren ist also garnicht erst erforderlich.

Das ganze ist ja so brisant, ebend weil du alle die Infos du brauchst um in die Netzwerke per Wlan einzudringen, direkt in eienr Datenbank, in Klartext hast. Das nimmt einem Enorm viel arbeit ab.
Sehr schlecht für den besitze des Netzwerk, sehr gut für diejenigen die einen zugang suchen etc..
 
Zuletzt bearbeitet:

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
39.013

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
17.790
Ja oder? Um sich mit dem WLAN zu verbinden muss ich doch einmal per Klartext ankommen, mit einem Hash wird das WLAN mich abweisen. Allerdings hätte die Datenbank des App-Betreibers nicht so offen stehen dürfen. Ein Smartphone und Apple/Google speichern die WLAN-Schlüssel der Nutzer ja auch "versteckt".
 

Tada100

Lt. Commander
Dabei seit
Feb. 2014
Beiträge
1.768
@Jesterfox
Naja als Hash unbrauchbar, sicher nicht. Dank immer schnelleren Grafikkarten könn(t)en Millarden Hash´s/sec
errechnet werden, da ist es relativ egal wie du das sicherst, Passwörter lassen sich immer knacken, nur ne frage der Zeit bzw. Rechenpower.

Wobei die Zeit das Ultimative Sicherheitsargument darstellt. Umsomehr zeit/aufwand für das Knacken des PW drauf gehen würde umso besser ist, da kommt es natürlich auch auf die jeweiligen algorithmen an!

@Wilhelm14
WLAN Passwörter werden nicht im Klartext übertragen, das ganze ist einwenich Komplexer (nicht das ich da aus dem 1x1 erklären könnte), dazu gibt es aber genug Material.
Tut man sich mit WLAN sicherheit beschäftigen, so lernt man zwangsweise etwas darüber.
 

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
39.013
Doch, siehe den Kommentar von Wilhelm14. Oder willst du für jedes Login in ein WLan das Passwort erst aus dem Hash per Bruteforce in einem Rechenzentrum zurückrechnen lassen? Die App selber benötigt das Passwort im Klartext.

Was aber eben z.B. möglich gewesen wäre ist die Datenbank zu verschlüsseln und den Schlüssel auf einem anderen Server abzulegen. Die App wird ja sicher nicht direkt mit der DB reden sondern über einen Webservice, der könnte sich dann den Schlüssel von der anderen Stelle holen. So wäre die DB alleine für Fremde wertlos.
 

Tada100

Lt. Commander
Dabei seit
Feb. 2014
Beiträge
1.768
@Jesterfox
Die App(der Maschinencode) braucht das nicht in Klartext, oder denkst du das WLAN-Passwort in KLARTEXT an den Acces point übertragen wird?
Den das Stimmt nicht, desweiteren nutz App eigentich die Funktionen des OS & Router bzgl. Netzwerk.
( https://de.wikipedia.org/wiki/IEEE_802.1X )

Diese App sammelt die Daten und schreibt sie in die Datenbank , die Beschreibung der App besagt "Der WiFi Finder greift direkt auf die crowdsourced Datenbank aus hundertausenden von SpeedSpots zu. ", spricht alle Informationen bzgl. des WLAN werden in die Datenbank geschrieben auf die jeder zugriff hatte.

Da muss jemand beim Programieren gepennt haben, den normalerweise würde man ja die Datenbank auf die das Programm zugreift vorher ausreichend sichern...

Bzgl :
Oder willst du für jedes Login in ein WLan das Passwort erst aus dem Hash per Bruteforce in einem Rechenzentrum zurückrechnen lassen?
; @Wilhelm14
Bitte beschäftige dich mit Netzwerken und Wlan wie und wieso das ganze Funktioniert.
https://www.elektronik-kompendium.de/sites/net/1403011.htm

Wobei manche sachen auf dieser Seite Bzgl. Sicherheit veraltet sind. Den WPA/2/3 sind nicht sicher, man kann es dem Angreifer erschweren ins Netzwerk zu kommen , hat er seine Hausaufgaben gemacht, so ist es ihm ein leichtes das Pw zu Knacken/abzufangen oder sich als schon Athentifiziertes Gerät ausgeben.
 
Zuletzt bearbeitet:

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
39.013
Die App(der Maschinencode) braucht das nicht in Klartext, oder denkst du das WLAN-Passwort in KLARTEXT an den Acces point übertragen wird?
An den Accesspoint sicher nicht... aber wenn ich mich "händisch" verbinde gebe ich das Passwort (aka PSK) ja auch im Klartext ein, die API vom OS wird das wohl daher im Klartext erwarten (und wenn man sich die Beschreibung zum PSK durchliest dass dieser als Schlüssel für symmetrische Verschlüsselung genutzt wird muss er sogar im Klartext vorliegen)


Das es ein Fehler war die Datenbank nicht entsprechend zu sichern steht ja außer Frage.
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
17.790
Das ist ja alles richtig, aber ich muss doch einmalig den PSK im Klartext "in den Händen" haben.
Edit: zu lahm, siehe Jesterfox. 🙂
 

Tada100

Lt. Commander
Dabei seit
Feb. 2014
Beiträge
1.768
:schluck: 😅 ; Ja DU musst das Passwort in Klartext vor dir Liegen haben, und eingebeben,
danach sollten die Daten aber eigentlich verschlüsselt/passwort/geschütz abgelegt sein in der Datenbank/Programm/OS.

@Jesterfox
Beschäftige dich bitte mit Programmieren / Netzwerk / Standards bzgl. Wlan, habe jetzt keine lust das ganze Thema hier durchzukauen (tut mir leid falls das harsch rüberkommt).
Im klartext wird es erwartet aber nicht verarbeitet , hinzukommt das es ein komplexes Thema aus mehr als nur einem Thema ist, das ganze würde ausarten an Kommentaren, das ist glaube ich nicht gern gesehen und auch nicht gantz Inhaltich zum Thema des Eigentlichen kommentares bzgl. der Nachricht.
 

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
39.013
Der PSK muss auch für die Verwendung "im Klartext" vorliegen. Eine Speicherung in verschlüsselter Form kann helfen das ganze zu sichern, ja. (Allerdings ist das ganze auch nicht absolut sicher, weil man an den Schlüssel dafür kommen könnte.) Ein Hash vom PSK bringt dir aber absolut rein gar nichts.
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
17.790
Ja DU musst das Passwort in Klartext vor dir Liegen haben, und eingebeben,
danach sollten die Daten aber eigentlich verschlüsselt/passwort/geschütz abgelegt sein in der Datenbank/Programm/OS.
Na eben. 🍻 In diesem Konstrukt und der Verarbeitungskette ist doch die Datenbank der "Free Wifis", die App, die die Schlüssel aus der Datenbank bezieht, die App, die sich mit dem Schlüssel beim WLAN einbucht (oder dem Betriebssystem übergibt, welches sich einbucht). Kurzzeitig muss der PSK im Klartext auftauchen. Die Datenbank hätte wie ein Passwortmanager verschlüsselt sein müssen und nur die App kennt den Schlüssel. Die Datenbank war halt offen.

PS: So ganz schlimm finde ich den Vorfall eigentlich auch nicht. Sinn so einer "Community" ist doch WLAN für jeden zugänglich zu machen. Wenn ich mein WLAN anderen zur Verfügung stellen möchte und dazu es der App verrate, dann soll der PSK doch bekannt und offen sein.
 

hroessler

Commander
Dabei seit
Okt. 2013
Beiträge
3.020
Hier stand Mist!

greetz
hroessler
 
Top