FaceNiff: Firesheep für Android – kapert Twitter-, Facebook- und YouTube-Accounts in Windeseile

Puh, erinnert ihr euch noch an das ganze Heck Meck um Firesheep im letzten Jahr? Falls nicht: Firesheep konnte, sofern der Nutzer von Diensten wie zum Beispiel Facebook oder Twitter nicht per gesicherter HTTPS-Verbindung unterwegs war, die Accounts in Windeseile kapern. Das Ganze war so easy, dass sich jeder Low-Brainer auf Konferenzen wie Kim Schmitz fühlen konnte.

Jetzt benötigt der geneigte Vollhorst nicht einmal mehr einen Laptop – ein einfaches gerootetes Android-Smartphone und FaceNiff reicht, um sich in unverschlüsselte Accounts einzuloggen. Das ist so simpel und narrensicher, das bekommt fast jeder hin. Also – ich predige es ja eh immer: nutzt, wenn möglich die angebotenen HTTPS-Verbindungen der Diensteanbieter!

FaceNiff funktioniert bislang für Amazon, Twitter, Facebook und YouTube. Die Nutzung ist sicherlich nicht legal – ich erwähne die Software trotzdem, damit die Leute an HTTPS denken – man muss ja nicht immer durch Schmerzen lernen 😉 (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. CherryCoke says:

    Legal is das ganze in Deutschland aber nicht, oder?

    Würde mich wundern.

  2. Das heißt also sich mitten in der Innenstadt hinstellen, Android als WiFi-HotSpot einrichten (mit leicht zu verwechselnder SSID), FaceNiff einschalten, und abwarten?

    Klasse … natürlich ist das nicht legal. Warum verlinkst du es überhaupt? ^^

  3. Damit Leute HTTPS nutzen. Nur weil ich etwas nicht nenne, ist es nicht einfach weg 😉

  4. CherryCoke says:

    Könntest ja noch nen kleinen Satz zur Verständlichkeit hinzufügen, dass es nicht legal ist, Caschy.

  5. Besser noch, gute WLAN-Passwörter verwenden und sich in öffentliche Netzwerke nur mit VPN einloggen 😉

    Immerhin bieten vor allem viele Drittanbieter-Apps nicht mal HTTPS zur Verbindung mit genannten Diensten an …

  6. CherryCoke says:

    Ah, haste ja schon reingeschrieben 😉

  7. Ne, bis jetzt steht nur drin dass die Nutzung nicht egal ist 😛

  8. Kommentar wieder gelöscht.

  9. CaptainCannnabis says:

    Also alle die caschy hier auffordern einen Hinweis bzgl. der Legalität dazuzuschreiben sollten evtl. in die Staaten auswandern. Die pflegen dort eine solch degenerierte Gesellschaft in der es üblich ist auf jeden Gegenstand Warnhinweise a la „Trocknen Sie Ihr Handy nicht in der Mikrowelle“ aufzudrucken.
    Hier mein allgemein-gültiger Formulierungsvorschlag für caschy’s Blog:
    „Es ist nicht verboten beim Lesen der Artikel Ihre volle Hirnkapazität zu nutzen!“

    Munter,
    CC

  10. Ich wurde meine Hand nicht in’s Feuer legen, dass sich unter Caschy’s Leserschaft nicht doch ein – wie er es treffend bezeichnet – geneigter Vollhorst befindet.

    Immer mehr unterbelichtete Teenager laufen mittlerweile mit Smartphones herum. Und wie lässt sich besser Cyber-Mobbing betreiben, als mit einem gehackten Facebook-Account?
    Vor allem, wenn die Nutzung eines solchen Tools so Idiotensicher ist …

  11. Geilo, jetzt hab ich endlich einen Grund mir doch noch ein Smartphone zuzulegen. Für diesen Spaß lohnt sich das.

  12. wer ist eigentlich dieser BILD, und warum darf er sich nicht zeitung nennen?

  13. Woran erkenne ich denn, ob eine App HTTPS benutzt? Was ist mit der offiziellen Facebook-App zum Beispiel?

  14. Das, was Scattered sagt, interessiert mich auch .. in offenen Wlan’s bewege ich mich weniger mit meinem PC als mit Smartphone oder iPod Touch ..

  15. @caschy wie siehts eigentlich mit den APPs aus? Benutzen die SSL? Oder läuft da alles unverschlüsselt ab?

  16. Also die Facebook Android-App benutzt SSL, das kam bei einem der letzten updates hinzu.
    Die meisten Android Twitter Apps verwenden doch oauth (Plume, twicca) und sind damit recht sicher oder?
    Die amazon.de App würde mich aber auch noch interessieren.

  17. Scheiße, das funktioniert sogar in gesichertem WLAN mit WPA2…
    Gerade bei mir im lokalem Netz getestet…

    Leider blockiert das Tool nach längerer Laufzeit das komplette Netzwerk, so dass niemand mehr irgendetwas machen kann. Aber 1-2 Minuten sniffen reichen völlig aus, um ein paar Sessions zu erhaschen. Danach sollte man das Tool wieder deaktivieren, damit der Netzverkehr nicht blockiert wird.

  18. Is egal ob gesichert oder nicht: funzt bei jedem, der im WLAN erfolgreich eingeloggt ist.

  19. Ich habe es gerade mit meinem eigenen Acc getestet und bekomme nur einen Unknown User angezeigt.

    Der Aufruf der Seite geht dann nicht, Error 404.
    Hat FB was geändert… 😀

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.