mboost-dp1

Flickr - bongo vongo

Android-applikation kan stjæle login-oplysninger selv på krypterede netværk

- Via FaceNiff -

Sidst i oktober 2010 udkom Firefox-udvidelsen FireSheep, der havde til formål at vise, hvor nemt det var at stjæle login-oplysninger på ubeskyttede trådløse netværk. Nu er en lignende applikation ved navn FaceNiff kommet til Android, men denne gang virker sporingen af informationerne selv på WEP-, WPA- eller WPA2-beskyttede netværk.

Læs også: Firefox-udvidelse gør det nemt at stjæle login-informationer

FaceNiff kan installeres på rootede Android-enheder, og giver mulighed for, efter at have opsnappet login-oplysninger, med det samme at logge ind som den anden bruger på blandt andet Facebook, Twitter, YouTube eller Amazon. Programmøren bag FaceNiff lover desuden, at man snart vil kunne opsnappe informationer til endnu flere hjemmesider.

Det er ikke engang nødvendigt at logge ind mens FaceNiff er i gang, for hver eneste HTTP-forespørgsel sender informationerne, som FaceNiff skal bruge. Dermed vil for eksempel et enkelt klik på Facebooks logo, der bringer en bruger tilbage til Facebooks startside, give mulighed for at logge ind på brugerens konto.

For at beskytte sig mod programmet er det nødvendigt at browse via HTTPS.

Se en videodemonstration af programmet nedenunder.





Gå til bund
Gravatar #1 - ufomekaniker2
3. jun. 2011 08:27
Det er satme uhyggelig det der!

Så gælder det om at indstille computeren til at bruge HTTPS som første prioritet. Og hvis siden ikke eksisterer i HTTPS slår den selv over til HTTP. Men det gør den nok allerede, eller hvad?
Gravatar #2 - m910q
3. jun. 2011 08:29
#1
Det er intet nyt i dette. Nu er det bare blevet lidt nemmere for den almindelige bruger.

På en side some Facebook kan du gå ind i dine indstillinger og sige at du vil anvende HTTPS. Og så skal du huske at gå ind på https:// til at starte med. Hvis du bruger Firefox kan du få en extention(HTTPS Everywhere) der klarer det for dig.
Gravatar #3 - BeLLe
3. jun. 2011 08:42
Men hvor finder man programmet? - Det er ikke på market
Gravatar #4 - m910q
3. jun. 2011 08:44
#3
Følg linket til nyheden, der er links til .apk
Gravatar #5 - Longio
3. jun. 2011 09:09
Lidt irriterende at tlf skal være rootet... :/
Gravatar #6 - vulpus
3. jun. 2011 09:11
OT: Er det Swype keyboardet han bruger i demoen?
Gravatar #7 - mbp
3. jun. 2011 09:15
Sjovt at FB ikke ofrer de ekstra 1-2% serverressourcer (jf. google udtalelse + personlige erfaringer) og gør SSL default. De ville vinde langt mere i goodwill end de taber på omkostninger.
Gravatar #8 - Comeoooooon
3. jun. 2011 09:22
FireSheep har jo altid fungere med krypteret trådløse netværk, bare man har adgang til den.

Intet nyt her udover man kan nu gøre det med en telefon eller tab på Android.

Firefox + Https-everwhere ftw!
Gravatar #9 - zymes
3. jun. 2011 09:32
Det tror jeg da lige jeg skal hente, når jeg har vist folk hvor nemt jeg kan gå på deres facebook kan jeg måske få dem til at bruge https..

Edit: Hvis man kører gennem VPN er man vel også beskyttet? Eller?
Gravatar #10 - kblood
3. jun. 2011 10:17
Ja, igennem VPN, så kører HTTP sessionen på en fjerncomputer, som så vises på din computer.

Men jeg må indrømme at jeg ikke rigtigt er på WiFi netværk med folk jeg ikke stoler på. Den skriver at det kan lade sig gøre på krypterede netværk, men det kræver jo stadig at han kan logge ind på det trådløse netværk. På en skole eller på arbejdspladser kan det måske være et problem.
Gravatar #11 - Krydolph
3. jun. 2011 10:17
jeg kan se fordelene ved httpS men hvad med ulemper? Hvad er der af dem? Går det langsomere? Er der andet?
Gravatar #12 - Bladtman242
3. jun. 2011 10:23
#11: det lægger et større pres på både serveren og klienten, da der skal krypteres noget data :)
ssl handshakes bliver vist anset som værende ret tunge?
Uden ligefrem at være ekspert på området :)
Gravatar #13 - gnarfsan
3. jun. 2011 10:23
Endnu en god grund til at passe ekstra på, når man installerer programmer, der kræver root.
Gravatar #14 - Bladtman242
3. jun. 2011 10:33
#13: What? har du læst nyheden? :P
Det er ikke et root app der stjæler dine oplysninger,
det er et root app der hjælper dig til at stjæle andres :)
Gravatar #15 - kasperd
3. jun. 2011 10:39
ufomekaniker (1) skrev:
Så gælder det om at indstille computeren til at bruge HTTPS som første prioritet.
Det er ikke en indstilling på computeren, men måske findes der sådan en indstilling i nogle browsere. Jeg har dog aldrig set sådan en indstilling. Man kan dog sørge for at bruge bookmarks med https.

ufomekaniker (1) skrev:
Og hvis siden ikke eksisterer i HTTPS slår den selv over til HTTP.
Et system der automatisk skifter til http hvis ikke der kan opnås en https forbindelse vil være totalt usikkert. Det er nemt at få en browser til at tro https porten er lukket, og hvis den så automatisk skifter til http har du mistet alt den sikkerhed https gav.

En mere lovende metode ville være at bruge STS. Selvfølgelig er værdien af STS begrænset hvis du først skal åbne en SSL forbindelse til serveren for at modtage Strict-Transport-Security headeren. Og en løsning hvor browseren på forhånd ved hvilke domæner der kræver SSL er fuldstændig umulig at håndtere i praksis.

Den bedste løsning vil nok være hvis man gennem DNSSEC kan kommunikere at der skal bruges SSL, samt hvad nøglen er.

zymes (9) skrev:
Hvis man kører gennem VPN er man vel også beskyttet?
Du er beskyttet imod angreb over det trådløse netværk (med mindre angrebene er imod en fejl i VPN systemet). Men VPN beskytter ikke forbindelsen imellem VPN serveren og webserveren. Muligvis kan andre brugere på samme VPN server angribe dig. Administratorer af nettene mellem VPN serveren og webserveren kan uden tvivl angribe dig.

Krydolph (11) skrev:
jeg kan se fordelene ved httpS men hvad med ulemper?
Ekstra omkostninger og administrativt overhead til håndtering af en separat CA infrastruktur. Sikkerheden er heller ikke helt i top når nu det kun kræver at en enkelt CA et sted i verden udsteder et forkert certifikat for at underminere sikkerheden i hele systemet.
Gravatar #16 - ufomekaniker2
3. jun. 2011 10:54
kasperd (15) skrev:
Det er ikke en indstilling på computeren, men måske findes der sådan en indstilling i nogle browsere. Jeg har dog aldrig set sådan en indstilling. Man kan dog sørge for at bruge bookmarks med https.

ufomekaniker (1) skrev:
Og hvis siden ikke eksisterer i HTTPS slår den selv over til HTTP.
Et system der automatisk skifter til http hvis ikke der kan opnås en https forbindelse vil være totalt usikkert. Det er nemt at få en browser til at tro https porten er lukket, og hvis den så automatisk skifter til http har du mistet alt den sikkerhed https gav.

En mere lovende metode ville være at bruge STS. Selvfølgelig er værdien af STS begrænset hvis du først skal åbne en SSL forbindelse til serveren for at modtage Strict-Transport-Security headeren. Og en løsning hvor browseren på forhånd ved hvilke domæner der kræver SSL er fuldstændig umulig at håndtere i praksis.

Den bedste løsning vil nok være hvis man gennem DNSSEC kan kommunikere at der skal bruges SSL, samt hvad nøglen er.

zymes (9) skrev:
Hvis man kører gennem VPN er man vel også beskyttet?
Du er beskyttet imod angreb over det trådløse netværk (med mindre angrebene er imod en fejl i VPN systemet). Men VPN beskytter ikke forbindelsen imellem VPN serveren og webserveren. Muligvis kan andre brugere på samme VPN server angribe dig. Administratorer af nettene mellem VPN serveren og webserveren kan uden tvivl angribe dig.

Krydolph (11) skrev:
jeg kan se fordelene ved httpS men hvad med ulemper?
Ekstra omkostninger og administrativt overhead til håndtering af en separat CA infrastruktur. Sikkerheden er heller ikke helt i top når nu det kun kræver at en enkelt CA et sted i verden udsteder et forkert certifikat for at underminere sikkerheden i hele systemet.


Hvad gør vi så? :)
Gravatar #17 - kalleguld
3. jun. 2011 11:02
ufomekaniker (16) skrev:

Hvad gør vi så? :)

http://en.wikipedia.org/wiki/Tin_foil_hat
Gravatar #18 - Nize
3. jun. 2011 11:05
ved FireSheep: This just in: trådløse netværk sender dit trafik til alle

Igen: this just in: det gælder for alt på wireless, inkl. din telefon, din hamster, din whatever.

Det man kan gøre er at køre sit accesspoint med (og det hedder forskelligt fra fabrikant til fabrikant) p2p blocking/ host isolation, hvor der pr. klient er unik nøgle - så andre dermed ikke kan sniffe.

Man kan også installere noget vpn software på sin dims, og så route trafik gennem sin egen serverdimmer/router hjemme, hvor man så også er beskyttet.

Men i det store hele skal de tjenester bare til at leve op til deres samfundsmæssig ansvar - mest fordi de fleste brugere af den slags er teknisk handicappede der ikke gider sætte sig ind i noget, det skal bare virke. De nye teenagere nu om dage fatter meget lidt af computere, og er ligeglade med at der er virus på dem - når bare facebook virker osv.

https hvor det er nødvendigt er nok det der løser mest, hurtigst. Men det skal man ikke selv gøre, det skal tjenesteudbyderen (facebook).
Gravatar #19 - kblood
3. jun. 2011 11:07
Man kan også bruge Proxy server services. Man kan enten sætte en op i sin browser, eller installere et program. Der er ulempen at det er et ekstra led på ens Internet forbindelse. Så er man også beskyttet mod dette.

Men jeg undrer mig over at der er så mange som er på fælles trådløse netværk. Hvilke netværk er dette? På skolen? På arbejdet? Jeg kan forstå at man føler sig utryg på en skole, men ens hjemmenetværk har man vel kun personer på som man stoler på?

Er det til folk som logger på WiFi i toget, på bussen, i lufthavnen og TDC Hotspots? Der er der jo potentielt risiko, men på de netværk er det nu mest mobil jeg bruger, og som jeg forstår det kan det program ikke opsnappe oplysninger fra en mobil.
Gravatar #20 - kblood
3. jun. 2011 11:09
Nize (18) skrev:
https hvor det er nødvendigt er nok det der løser mest, hurtigst. Men det skal man ikke selv gøre, det skal tjenesteudbyderen (facebook).


Men Facebook lader åbenbart brugeren vælge om de vil have at man skal tilgå med eller uden HTTPS.
Gravatar #21 - simonduun
3. jun. 2011 11:12
Så tog det mig ikke mere end 5 minutter at skrive https foran facebook :P
Gravatar #22 - gnarfsan
3. jun. 2011 11:30
Bladtman242 (14) skrev:
#13: What? har du læst nyheden? :P
Det er ikke et root app der stjæler dine oplysninger,
det er et root app der hjælper dig til at stjæle andres :)

Eller hjælper en tredje part, der har lavet lagt det ind i en app, som malware til at stjæle oplysninger fra alle netværk, du logger på.
Gravatar #23 - Chillypill
3. jun. 2011 11:34
med cain and abel kan man også ret nemt stjæle informationer
Gravatar #24 - Taxwars
3. jun. 2011 11:44
Så hvis man ER på netværket kan man snuse på det - wow - ryd forsiden.
Gravatar #25 - Dr_Mo
3. jun. 2011 13:11
Taxwars (24) skrev:
Så hvis man ER på netværket kan man snuse på det - wow - ryd forsiden.

Det er noget med at man også kan logge ind på andres facebook profil, hvis man har deres brugernavn og kodeord, på en Android telefon og det skulle vist også virke på krypterede netværk (selv WPA2).

Men enig, underlig nyhed. Man burde vel kunne gøre det på enhver OS...
Gravatar #26 - GormDK
3. jun. 2011 13:16
#6
Ja, det ligner i hvert fald på en prik :)
Gravatar #27 - kasperd
3. jun. 2011 15:22
ufomekaniker (16) skrev:
Hvad gør vi så?
Det bedste ville være hvis serverens nøgle kan leveres både gennem DNS (med DNSSEC) og gennem et certifikat (signeret af en CA).

Browseren skal så prøve begge metoder og kun forbinde til en https server hvis mindst én af metoderne virker. Hvis de to metoder giver forskellig nøgle skal browseren melde fejl og ikke bruge forbindelsen. Der vil også opnås lidt ekstra sikkerhed, hvis hver metode kan fortælle om browseren skal forvente at modtage nøglen gennem begge kanaler eller kun den ene.

Desuden bør browseren tydligt vise om den har modtaget nøglen gennem begge kanaler eller kun den ene.
Gravatar #28 - mbw2001
3. jun. 2011 15:45
Det ser meget cool ud, men er jeg den eneste som tøver med at installere en App fra en tilfældig hjemmeside som kræver root og er skrevet af en gut som arbejder med at stjæle folks passwords.
Gravatar #29 - Bladtman242
3. jun. 2011 17:40
gnarfsan (22) skrev:
Bladtman242 (14) skrev:
#13: What? har du læst nyheden? :P
Det er ikke et root app der stjæler dine oplysninger,
det er et root app der hjælper dig til at stjæle andres :)

Eller hjælper en tredje part, der har lavet lagt det ind i en app, som malware til at stjæle oplysninger fra alle netværk, du logger på.


Jaeh, men det er et bold statement, og komplet irrelevant for nyheden :)
Gravatar #30 - Lobais
3. jun. 2011 18:09
kasperd (15) skrev:
Krydolph (11) skrev:
jeg kan se fordelene ved httpS men hvad med ulemper?
Ekstra omkostninger og administrativt overhead til håndtering af en separat CA infrastruktur. Sikkerheden er heller ikke helt i top når nu det kun kræver at en enkelt CA et sted i verden udsteder et forkert certifikat for at underminere sikkerheden i hele systemet.


I virkeligheden kunne vi i dette tilfælde klare os med en ikke certifikat-baseret løsning. Kan det lade sig gøre med https?
Gravatar #31 - kasperd
3. jun. 2011 20:36
Lobais (30) skrev:
I virkeligheden kunne vi i dette tilfælde klare os med en ikke certifikat-baseret løsning. Kan det lade sig gøre med https?
Man kan lave et self-signed certifikat. Alle browsere vil give en advarsel, når de ser sådan et.

Løsningen med et self-signed certifikat er sikker overfor passive angreb der blot sniffer trafikken, så den er trods alt mere sikker end blot http. Til gengæld er den nytteløs overfor aktive angreb, så den er mindre sikker end et certifkat fra en CA, selv hvis den CA ikke er den mest omhyggelige.

Hvad jeg rent teknisk forestiller mig der skal ske med https er at man i fremtiden kan lægge en hash-værdi af nøglen eller certifikatet i DNS og validere det med DNSSEC. Browseren skulle så ikke advare på samme måde hvis certifikatet var self-signed, fordi den kan validere certifikatet gennem DNS.

Hvad jeg endnu hellere så, men hvilket er lidt mere omstændigt at få deployed, er opportunistisk kryptering på TCP niveau.

Jeg forestiller mig, at de to endepunkter af en TCP stream gennemfører en Diffie-Hellman key exchange før der overhovedet udveksles sekvens numre, port numre, options eller noget som helst andet end IP adresser og nøgler. Når man har gennemført en Diffi-Hellman key exchange vil man som regel efterfølgende udveksle signaturer af de udvekslede beskeder for at validere key setup. Det har jeg ikke forestillet mig at TCP laget skal gøre. Det skal tilgengæld stille en hash værdi til rådighed for applikationslaget, som så kan udveksle signaturer, hvis det har lyst.

Denne løsning er sikker overfor passive angreb. Og systematiske aktive angreb vil blive opdaget fordi de også rammer forbindelser, hvor hash værdierne valideres af signaturer. Før man udfører et aktivt angreb kan man simpelthen ikke vide, om det er en forbindelse hvor det vil blive opdaget eller ej.

Ulemperne ved den opportunistiske kryptering er de ekstra roundtrips krævet for at starte en forbindelse. Desuden vil det kræve ny kode i både kerne og applikationslaget i begge ender af forbindelsen.

Ændringen vil være så stort et indgreb, at man lige så godt ved samme lejlighed kan introducere SYN cookies som en del af standarden i modsætning til det nuværende hack med dets ulemper.
Gravatar #32 - Krydolph
4. jun. 2011 00:07
har farmville https?
Gravatar #33 - Theis
4. jun. 2011 16:00
Det virker sgu meget godt, nu er min roomate fan af Nickelback!
Gravatar #34 - Decipher
4. jun. 2011 17:30
Hvorfor har newz ikke en HTTPS option (som virker med HTTPS Everywhere)? Pfft ;)
Gravatar #35 - doctorx
4. jun. 2011 23:59
Semi-offtopic: Hvorfor er facebooks login ikke https som standard? Hvem ville nogensinde slå det fra, https var standard?
Gravatar #36 - Alrekr
5. jun. 2011 00:05
doctorx (35) skrev:
Semi-offtopic: Hvorfor er facebooks login ikke https som standard? Hvem ville nogensinde slå det fra, https var standard?


Sidst jeg forsøgte med facebooks https, så kunne jeg ikke spille spil. Tænker at mange ville være kede af ikke at kunne spille Farmville..
Gravatar #37 - doctorx
5. jun. 2011 00:58
Alrekr (36) skrev:
Sidst jeg forsøgte med facebooks https, så kunne jeg ikke spille spil. Tænker at mange ville være kede af ikke at kunne spille Farmville..


God pointe. Nu har jeg lige prøvet, og den spørger så, om man midlertidigt vil være logget ind med http, mens man spiller. Man siger bare ja og så logger den en ind uden man skal skrive loginoplysninger igen. Det ser ud til at fungere godt - de må have forbedret det siden du prøvede.
Gravatar #38 - vooze
5. jun. 2011 08:44
Har lige testet på min Nexus S, virker sku meget fint.. Den fangede min egen face fra bærbar på 2 sekunder over WIFI.
Gravatar #39 - ufomekaniker2
5. jun. 2011 14:32
Så meget for WPA2. Så kan man jo lige så godt have sin forbindelse ukrypteret, og så blive godkendt på routeren via MacAdressen. Kan man køre to krypteringer oven i hinanden mellem router og computer? Er WPA2 og HTTPS nok?
Gravatar #40 - gnarfsan
5. jun. 2011 14:41
ufomekaniker (39) skrev:
Så meget for WPA2. Så kan man jo lige så godt have sin forbindelse ukrypteret, og så blive godkendt på routeren via MacAdressen.

Ikke helt. Brugeren af programmet skal jo være forbundet til netværket.
Gravatar #41 - doctorx
5. jun. 2011 17:06
ufomekaniker (39) skrev:
Så meget for WPA2. Så kan man jo lige så godt have sin forbindelse ukrypteret, og så blive godkendt på routeren via MacAdressen. Kan man køre to krypteringer oven i hinanden mellem router og computer? Er WPA2 og HTTPS nok?


Fra Wikipedia:
Any 802.11 device "on the air" freely transmits its unencrypted MAC address in its 802.11 headers, and it requires no special equipment or software to detect it.

Og har man bare lidt nice drivere, er det meget nemt at ændre ens egen macadresse til en man har sniffet. Filtrering på macadresse er det største hoax indenfor sikkerhed.
Gravatar #42 - kasperd
5. jun. 2011 18:58
ufomekaniker (39) skrev:
Er WPA2 og HTTPS nok?
https i sig selv er nok så længe certifikat udstederen ikke begår fejl. Hvis en person der vil angribe din forbindelse har været i stand til at få udstedt et certifikat for det site du prøver at forbinde dig til, så hjælper kryptering af dit trådløse netværk alligevel ikke ret meget. De kan blot foretage et man-in-the-middle angreb ude på Internettet.

Formålet med WPA2 er at forhindre uvedkommende i at forbinde til dit trådløse netværk i første omgang. Personer der allerede har adgang kan foretage alle de sædvanlige angreb mod trådløse netværk.

Det betyder faktisk, at på et trådløst netværk er autentifikation og integritet vigtigere end kryptering. Sådan forholder det sig faktisk i mange tilfælde, men det er alligevel kryptering der oftest bliver fokuseret på.

De to væsentligste grunde til at bruge WPA2 på sit netværk er for det første for at beskytte enheder på netværket som man evt. måtte have, som ikke er tilstrækkeligt sikrede til at blive forbundet til et åbent netværk, og desuden for at forhindre at politiet sparker døren ind fordi nogle terrorister har piratkopieret børneporno over dit netværk.

Artiklen omhandler næppe et angreb på WPA2, der er nærmere tale om at nogen har haft forkerte idéer om sikkerheden på højere protokollag og antaget at WPA2 gav sikkerhed på IP niveau selvom det arbejder på MAC niveau.

Lad være med at åbne dit netværk for personer du ikke stoler på, og brug https til alle vigtige ting, så burde du ikke have grund til at bekymre dig om angrebet.
Gravatar #43 - Bladtman242
7. jun. 2011 09:03
Ellers kan man sætte sit AP til at lave individuelle forbindelser til hver enkelt trådløse klient, så de ikke kan snakke sammen :)
Kan så ikke lige huske hvad det hedder.. Men i min router kalder de det AP isolation :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login