Basta un’applicazione per Android e uno smartphone per effettuare l’hijacking di un qualunque account Facebook, ma anche Twitter, YouTube, Amazon, Nasza-Klasa. Uno sviluppatore specializzato in App per Android ha realizzato, infatti, un’applicazione che rende il furto di credenziali alla portata di tutti. L’app si chiama FaceNiff e può essere usata per rubare i cookies non criptati su moltissime reti Wi-Fi, dando quindi all’utilizzatore, una facile e intuitiva interfacia che permetta a chiunque la sottrazione di tokens inviati via Facebook, Twitter a tutti gli altri popolari siti per i quali gli utenti non si curano di usare le connesioni SSL criptate.
Non tutti sanno che Facebook permette di impostare una connessione sicura su protocollo HTTPS al posto di quella normale, decisamente meno sicura. FaceNiff capitalizza al meglio questa negligenza e con l’aiuto di uno smartphone connesso alla stessa rete della persona che utilizza Facebook permette di volare un qualunque profilo in pochi istanti. Non servono particolari conoscenze perché l’app richiede solo la modifica per abilitare il root sullo smartphone dell’attaccante e poi basterà una rete Wi-Fi (anche protetta da crittografia WPA) per iniziare l'hijacking del profilo vittima.
In uno dei video apparsi su YouTube e che provano l’efficacia del software, un utente è riuscito a “sniffare“ i pacchetti dati attraverso la rete senza fili (protetta in questo caso) e a postare sulla bacheca di un’altro utente, ovviamente solo per test ed il tutto in pochi secondi. Lo sviluppatore sottolinea che FaceNiff è esclusivamente a scopo didattico. Ma siamo sicuri che ci sia già una mano cattiva in cerca di utenti ignari. Il modo migliore per difendersi è evitare di connettersi da luoghi pubblici oltre ad utilizzare, ove possibile, la navigazione protetta. Per attivare l'https Facebook, accedete alla pagina Impostazioni account. Cliccate sul link "modifica" accanto a Protezione dell'account, selezionate la casella sotto "Navigazione protetta (https)", quindi cliccate sul pulsante "Salva".
Nessun commento:
Posta un commento