Ukradli jsme účet k Facebooku. S Androidem za 5 s

Co potřebuje hacker k proniknutí na cizí účet na Facebooku? Milion dolarů? Speciální techniku? Extrémní znalosti? Stačí Android s rootem, Wi-Fi a pět sekund.

Program Wireshark (dříve Ethereal) zná každý správce sítě a „reverzní inženýr“, který se pokouší zjistit, jak fungují různé aplikace komunikující skrze web. Wireshark analyzuje kompletní komunikaci na vybrané síťové kartě, takže se můžete podívat, co se bude dít, když se třeba začne synchronizovat soubor na úložiště Dropbox nebo když začnete odesílat e-mail.

Šifrovaná komunikace SSL (HTTPS) je pro Wireshark neviditelná, respektive uvidíte jen změť šifrovaných znaků, pokud se ale přihlásíte třeba na nějaký nešifrovaný webový e-mail, ve Wiresharku snadno dohledáte čitelné přihlašovací jméno a heslo. O důvod více používat SSL v takové míře, jak je to jen možné.

Klepněte pro větší obrázek
Pokud se naučíte ovládat Wireshark a máte přehled o síťových protokolech,
dozvíte se z něho téměř vše. Pro běžného smrtelníka ale není

Do kategorie snifferů a paketových analyzátorů patří také doplněk pro Firefox Firesheep, aplikace SSLSniff a nakonec i androidí program FaceNiff. Dnes o něm bude řeč, je totiž neskutečně zákeřný a přitom tak jednoduchý…

FaceNiff

FaceNiff je paketový analyzátor pro operační systém Android s administrátorskými právy. K jeho chodu tedy budete potřebovat takzvaný root telefonu, což naštěstí většinu z vás odradí. Při rostoucí popularitě CyanogenModu a dalších neoficiálních rootnutých ROM je to ale vlastně také jen kosmetika.

FaceNiff se oproti Wiresharku liší v tom, že jej dokáže ovládat naprosto každý, jedná se totiž o jednoúčelnou aplikaci. Analyzuje komunikaci v síti a hledá ty datové pakety, které tečou na servery Facebooku. Díky tomu aplikace vypíše seznam lidí, kteří ve vaší síti právě komunikují na této sociální síti. Tím to ale nekončí, odhalí totiž i jejich session ID – jedinečný identifikátor spojení, pomocí kterého vám umožní přístup do jejich profilu. Jak je to možné? To se dozvíte v dalším odstavci.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Start aplikace FaceNiff je až trestuhodně jednoduchý, v podstatě stačí dva kliky

Dropbox, Google, Facebook… Všude je to stejné

Přihlašování do většiny webových služeb funguje na principu session – jedinečného identifikátoru, který prohlížeč získá v momentě úspěšného přihlášení. Ten si pak prohlížeč drží po celou dobu spojení, často v paměti cookies. Kdykoliv pak od služby něco potřebuje, třeba skrze ajax kontroluje, jestli vám nedošel nový e-mail, serveru v dotazu pošle i tento identifikátor, aby druhá strana věděla, kdo jsme. Díky tomu se při každém obnovení stránky – při každém dotazu nemusíme opět složitě přihlašovat.

Problém nastane tehdy, kdy se tento identifikátor odesílá nešifrovaně – což je stále nejčastější, jelikož služeb, které nabízejí SSL, zase není tolik. Pokud by v takovém okamžiku použil útočník některý z výše jmenovaných programů, celkem snadno by tento identifikátor zjistil a mohl by ho zneužít.

Na podobném principu zabezpečeného přihlašování, ale už ne identifikátoru lze prolamovat:

Facebook se ve výchozím stavu chrání jen napůl. Žádný nechtěný posluchač nezjistí vaše přihlašovací jméno a heslo, protože při autentizaci se vždy používá SSL. Nicméně poté už komunikujete skrze běžný HTTP protokol a všechny informace jsou pro záškodníka čitelné.

Ovládněte cizí Facebook na dva kliky

Je to pravda? Nedalo mi to a nainstaloval jsem si FaceNiff na svůj Android. Namísto oficiální ROM používám CyanogenMod 7 s rootem, takže to bylo velmi snadné. Stačilo se skrze Wi-Fi připojit do firemní sítě a spustit program. Ten začne okamžitě skenovat komunikaci v síti, a pokud odhalí datové pakety s identifikátorem spojení na Facebook, vypíše napadnutelné kontakty.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek 
Seznam nalezených facebookových kontaktů v lokální síti. Pokud na některý z nich klepnu, dostanu se na profil s odcizeným identifikátorem a získávám k němu stejná práva jako jeho skutečný majitel. Jana je grafička Computeru, která sedí v sousední kanceláře, tak jsem si z ní trošku vystřelil.

Pak už pouze stačí klepnout na ikonu nešťastníka a v prohlížeči se otevře stránka s Facebookem a podvrženým identifikátorem. Ačkoliv tedy neznáte heslo facebookového účtu, získáte absolutní moc nad jeho profilem. Můžete pod jeho jménem psát zprávičky, prohlížet fotky, případně rovnou vše smazat. Facebook si jednoduše díky ukradnutému identifikátoru myslí, že jste někdo úplně jiný. Rovnou vás ale varuji, že takovým jednáním docela hrubě porušíte zákon.

Klepněte pro větší obrázek
Tuto zprávičku Jana vážně nenapsala...

Díky masovému používání velmi snadné

Můžete namítnout, že jako útočník mohu čekat celé hodiny, než někdo v síti použije Facebook a vyšle paket s identifikátorem, ve skutečnosti to ale bude trvat jen pár sekund. Facebook načtený v prohlížeči totiž díky ajaxu neustále něco posílá na svůj server, komunikuje na pozadí prohlížeče, takže nějaký ten identifikátor ve větší síti objevíte skutečně velmi rychle.

Mnohem větší nebezpečí ale čeká na osazenstvo nějaké letní zahrádky u restaurace. Každá druhá dnes totiž nabízí Wi-Fi připojení a ve větších městech máte v podstatě téměř jistotu, že bude poblíž někdo komunikovat na Facebooku. U mobilních aplikací by neměl být problém – ty by měly používat SSL v každém případě, ale ty ostatní zjistíte.

Jak jsem ukradl Facebook svého nadřízeného (video)

Jak se proti tomu bránit?

Obrana je relativně snadná: komunikujte na Facebooku vždy a výhradně skrze SSL šifrování. Jak to nastavit? Přihlaste se na Facebook, nahoře v liště klepněte na Účet, v menu pak na Nastavení účtu a v dialogu pak najděte volbu Zabezpečení účtu. Tady nakonec zaškrtněte možnost Procházet Facebook pomocí zabezpečeného připojení (HTTPS), kdykoliv je to možné. Odhlaste se, případně smažte cookies, přihlaste se a už byste měli být neviditelní. I když kdo ví, jaká potenciální dvířka pro záškodníky ještě nechal Facebook pootevřené.

Klepněte pro větší obrázek
Přinuťte Facebook komunikovat pomocí SSL

Podobných nástrojů najdete na webu celou hromadu, princip útoku je totiž starý jako web samotný. FaceNiff se orientuje ryze na Facebook, nicméně podobným způsobem odhalíte v obecných snifferech sessiony prakticky ke všem službám, které fungují na podobném principu. U služeb, které k přihlašování nepoužívají SSL, pak hrozí i poměrně velmi snadné zjištění vašeho hesla a v takovém případě vám ani v nejmenším nepomůže to, že jste si vybrali superodolné heslo, které by měli hackeři zdolávat 250 000 000 000 let.

Internet ani zdaleka není tak bezpečný a anonymní, jak si občas naivně myslíme.


Tento článek není návodem k páchání trestné činnosti, pouze jsem na něm ukázal, jak zranitelné jsou každodenní webové služby bez použití SSL. Program nehledejte na Android Marketu a případně očekávejte další komplikace, ty zde ale vysvětlovat nebudu. Aplikace je zároveň placená. V režimu freeware vám odhalí pouze první tři účty.

Diskuze (43) Další článek: Mobily a rakovina: pohled z druhé strany

Témata článku: Android, Smartphony, Sociální sítě, Bezpečnost, Nastavení účtu, FAC, SSL, #Android, Masové používání, Účet, Obrana, Šifrovaná komunikace, Etherea, Kosmetika, Telefony s Androidem na Heureka.cz



Recenze herního notebooku Lenovo Legion 7. Výkonný kolos s novým Intelem a RGB diskotékou

Recenze herního notebooku Lenovo Legion 7. Výkonný kolos s novým Intelem a RGB diskotékou

Když chcete to nejlepší, musíte si připlatit. Protože každá sranda něco stojí. Stojí za to i nejnovější Legion?

Michal Maliarov
RecenzeHardware
Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Výrobci upouštějí od testování v Dxomark. Pokud nemá telefon šanci na první místo, nestojí to za to

Výrobci upouštějí od testování v Dxomark. Pokud nemá telefon šanci na první místo, nestojí to za to

** Mobilní výrobci přestali Dxomarku posílat telefony na testování ** Výsledky DXO se stále používají, tak v čem je problém? ** Pokud nemá telefon šanci na první místo, testování se nevyplatí

Martin Chroust
FotomobilyDxOMarkFocení mobilem
Vybrali jsme nejlepší telefony, které si v září 2022 můžete koupit

Vybrali jsme nejlepší telefony, které si v září 2022 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska
TelefonySmartphonyNákup a ceny
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Nejničivější bomba v historii lidstva. Rusko zveřejnilo dokument o testu Car-bomby
David Polesný
Sovětský svazAtomová bombaJaderný útokZbraně
Xiaomi Mix Fold 2 je skládačka s tenkým tělem. Skvělou výbavu podtrhuje fotoaparát Leica

Xiaomi Mix Fold 2 je skládačka s tenkým tělem. Skvělou výbavu podtrhuje fotoaparát Leica

** Xiaomi představilo svůj druhý skládací smartphone ** Vylepšil co mohl, dostal nový typ displeje a fotoaparát Leica ** Zatím je dostupný pouze v Číně

Martin Miksa
Skládací konstrukceLeicaVlajková loď
Jak zrcadlit obrazovku mobilu a počítače do televize

Jak zrcadlit obrazovku mobilu a počítače do televize

Ať už se chcete pochlubit fotkami z dovolené na velké obrazovce, nebo si přehrát video uložené na disku počítače, neobejdete se bez zrcadlení obrazovky. Ve výchozím stavu jej podporuje Windows i Android.

Stanislav Janů
NávodyTelevizeWindows
Srovnávací test výdrže baterie 120Hz telefonů. Jasné vítězství iPhonu, první se vypl Samsung s největší baterií

Srovnávací test výdrže baterie 120Hz telefonů. Jasné vítězství iPhonu, první se vypl Samsung s největší baterií

** Malá baterie Flipu a velký displej Foldu jsou velké nevýhody ** Naproti jim však jde energeticky efektivnější čipset od Qualcommu ** Obě nové skládačky tak v testu výdrže příjemně překvapily

Martin Chroust
VýdržSrovnání
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Vybíráme nejlepší fotomobily současnosti. Dobře mohou fotit i telefony za 6 tisíc

Vybíráme nejlepší fotomobily současnosti. Dobře mohou fotit i telefony za 6 tisíc

** Smartphony válcují nejen levné, ale už i pokročilé kompakty ** Vlajkové modely jsou skoro jistota, dobře fotí ale i levnější přístroje ** Po kterých fotomobilech byste měli aktuálně sáhnout?

Jan Pánek
FotomobilyVýběry
Microsoft vydal Windows 11 verze 22H2. Jak aktualizovat hned teď?

Microsoft vydal Windows 11 verze 22H2. Jak aktualizovat hned teď?

**Aktualizace s názvem 2022 Update je od úterý od 19:00 oficiálně dostupná všem **Distribuce Windows 11 22H2 bude řízená, takže se může protáhnout na týdny až měsíce **Pokud máte kompatibilní počítač, rovnou na verzi 22H2 přejdete z Desítek

Petr Urban
Windows 11Windows UpdateMicrosoft