FaceNiff: Firesheep für Android – kapert Twitter-, Facebook- und YouTube-Accounts in Windeseile
Puh, erinnert ihr euch noch an das ganze Heck Meck um Firesheep im letzten Jahr? Falls nicht: Firesheep konnte, sofern der Nutzer von Diensten wie zum Beispiel Facebook oder Twitter nicht per gesicherter HTTPS-Verbindung unterwegs war, die Accounts in Windeseile kapern. Das Ganze war so easy, dass sich jeder Low-Brainer auf Konferenzen wie Kim Schmitz fühlen konnte.
Jetzt benötigt der geneigte Vollhorst nicht einmal mehr einen Laptop – ein einfaches gerootetes Android-Smartphone und FaceNiff reicht, um sich in unverschlüsselte Accounts einzuloggen. Das ist so simpel und narrensicher, das bekommt fast jeder hin. Also – ich predige es ja eh immer: nutzt, wenn möglich die angebotenen HTTPS-Verbindungen der Diensteanbieter!
FaceNiff funktioniert bislang für Amazon, Twitter, Facebook und YouTube. Die Nutzung ist sicherlich nicht legal – ich erwähne die Software trotzdem, damit die Leute an HTTPS denken – man muss ja nicht immer durch Schmerzen lernen 😉 (via)
Legal is das ganze in Deutschland aber nicht, oder?
Würde mich wundern.
Das heißt also sich mitten in der Innenstadt hinstellen, Android als WiFi-HotSpot einrichten (mit leicht zu verwechselnder SSID), FaceNiff einschalten, und abwarten?
Klasse … natürlich ist das nicht legal. Warum verlinkst du es überhaupt? ^^
Damit Leute HTTPS nutzen. Nur weil ich etwas nicht nenne, ist es nicht einfach weg 😉
Könntest ja noch nen kleinen Satz zur Verständlichkeit hinzufügen, dass es nicht legal ist, Caschy.
Besser noch, gute WLAN-Passwörter verwenden und sich in öffentliche Netzwerke nur mit VPN einloggen 😉
Immerhin bieten vor allem viele Drittanbieter-Apps nicht mal HTTPS zur Verbindung mit genannten Diensten an …
Ah, haste ja schon reingeschrieben 😉
Ne, bis jetzt steht nur drin dass die Nutzung nicht egal ist 😛
Kommentar wieder gelöscht.
Also alle die caschy hier auffordern einen Hinweis bzgl. der Legalität dazuzuschreiben sollten evtl. in die Staaten auswandern. Die pflegen dort eine solch degenerierte Gesellschaft in der es üblich ist auf jeden Gegenstand Warnhinweise a la „Trocknen Sie Ihr Handy nicht in der Mikrowelle“ aufzudrucken.
Hier mein allgemein-gültiger Formulierungsvorschlag für caschy’s Blog:
„Es ist nicht verboten beim Lesen der Artikel Ihre volle Hirnkapazität zu nutzen!“
Munter,
CC
Ich wurde meine Hand nicht in’s Feuer legen, dass sich unter Caschy’s Leserschaft nicht doch ein – wie er es treffend bezeichnet – geneigter Vollhorst befindet.
Immer mehr unterbelichtete Teenager laufen mittlerweile mit Smartphones herum. Und wie lässt sich besser Cyber-Mobbing betreiben, als mit einem gehackten Facebook-Account?
Vor allem, wenn die Nutzung eines solchen Tools so Idiotensicher ist …
Geilo, jetzt hab ich endlich einen Grund mir doch noch ein Smartphone zuzulegen. Für diesen Spaß lohnt sich das.
wo lebst du eigentlich:
http://www.bild.de/home/telegramm/home-telegramm/telegramm-15478948,textId=18194896,tabindex=0.bild.html
nee nee….
wer ist eigentlich dieser BILD, und warum darf er sich nicht zeitung nennen?
Woran erkenne ich denn, ob eine App HTTPS benutzt? Was ist mit der offiziellen Facebook-App zum Beispiel?
Das, was Scattered sagt, interessiert mich auch .. in offenen Wlan’s bewege ich mich weniger mit meinem PC als mit Smartphone oder iPod Touch ..
@caschy wie siehts eigentlich mit den APPs aus? Benutzen die SSL? Oder läuft da alles unverschlüsselt ab?
Also die Facebook Android-App benutzt SSL, das kam bei einem der letzten updates hinzu.
Die meisten Android Twitter Apps verwenden doch oauth (Plume, twicca) und sind damit recht sicher oder?
Die amazon.de App würde mich aber auch noch interessieren.
Scheiße, das funktioniert sogar in gesichertem WLAN mit WPA2…
Gerade bei mir im lokalem Netz getestet…
Leider blockiert das Tool nach längerer Laufzeit das komplette Netzwerk, so dass niemand mehr irgendetwas machen kann. Aber 1-2 Minuten sniffen reichen völlig aus, um ein paar Sessions zu erhaschen. Danach sollte man das Tool wieder deaktivieren, damit der Netzverkehr nicht blockiert wird.
Is egal ob gesichert oder nicht: funzt bei jedem, der im WLAN erfolgreich eingeloggt ist.
HTTPS nutzen wird nicht lange genügen.
http://faceniff.freeforums.org/post14.html#p14