2011/06/02

FaceNiff - Apanha os Facebooks via WiFi


Lembram-se do Firesheep? Pois bem, a arte de "roubar" as identidades de pessoas que partilham uma rede WiFi está agora mais portátil, graças a este FaceNiff.

Com esta App Android instalada, apanharem o acesso de qualquer pessoa ligada ao Facebook, Twitter, ou YouTube com quem partilhem a rede WiFi.
Sim, basta ficar "à escuta" numa rede WiFi pública... e já estão a imaginar o que acontecerá - já que, entre estes três serviços, é praticamente garantido que alguém os utilize. E o seu criador promete acrescentar a possibilidade de apanhar ainda mais serviços no futuro.

Portanto, o melhor mesmo é activarem o acesso https do vosso Facebook (e de todos os outros serviços que o suportem) - e mesmo assim, já perceberão porque prefiro usar o acesso 3G mesmo quando tenho uma rede WiFi "pública" nas redondezas...


17 comentários:

  1. Eu prefiro o belo cabo apesar das desvantagens que têm.

    ResponderEliminar
  2. Dos_Passos2/6/11 19:25

    É um produto realmente perigoso.
    Pelos vistos não funciona só nas redes públicas mas também nas privadas com encriptação WEP/WPA-PSK/WPA2-PSK . E não são só as contas das redes sociais.
    Uma app que devia ser proibida.

    ResponderEliminar
  3. Não concordo com a proibição da app ... este tipo de apps é um abre-olhos.

    ResponderEliminar
  4. Mas este serviço permite-nos entrar dentro da conta Facebook a usar a rede ou apenas saber quem está a usa-la? É que no video não percebi onde é que foi deixado aquele comment.

    ResponderEliminar
  5. Anónimo2/6/11 20:23

    Pena que precise de root :(

    ResponderEliminar
  6. Anónimo2/6/11 20:25

    [Off-Topic] @ Carlos:

    Não sei se foi publicado aqui, mas o A5 recebeu update oficial para 2.2.
    Pena que o SF e o Boston não tenham ido pelo mesmo caminho :(

    ResponderEliminar
  7. Anónimo2/6/11 21:59

    Isto deve ser fixe para pregar partidas... há espera da versão para pc...

    ResponderEliminar
  8. @Dos_Passos

    Eu também sou da opinião do Taruga; não me parece que "proibir" algo que demonstra apenas uma das muitas falhas de seguranças a que muita gente se sujeita seja a solução ideal. Interessa é educar e informar, e por isso mesmo são necessárias ferramentas deste tipo - para demonstrar que este tipo de coisas pode ser feita facilmente e por qualquer pessoa.

    @Anónimo
    Não sabia que já tinha saído o 2.2 oficial, vou tentar fazer um post sobre isso. (De qualquer forma, já temos há bastante tempo o 2.2 e 2.3 "não-oficial" para o A5 e SF; e penso que para o Boston também haja pelo menos o 2.2)

    ResponderEliminar
  9. Anónimo2/6/11 22:37

    Carlos: Sim, o boston e o SF/A5 já têm suporte CM7.

    No entanto, fiquei com um trauma quanto a isso. Passo a contar...

    Tinha um HTC HD com ROM custom que de um momento para o outro, o botao On/Off deixou d funcionar. Eu, feito burro, tirei a bateria e... Nunca mais o liguei. Bem tentei fazer de tudo para o ligar, nem que fosse só po bootloader, p meter a rom original, ou até flashar pelo SD.
    nada resultou, o botão estava mesmo "partido".
    Assim, perdi a garantia.

    ResponderEliminar
  10. Uma wifi "pública" com encriptação WPA da qual de saiba a PSK não permite este tipo de sniffing.

    O ideal é os HOTSPOTS que estão abertos, terem um certificado digital que também encripta as comunicações.

    ResponderEliminar
  11. Dos_Passos3/6/11 13:03

    Toda a gente sabe que há ladrões que assaltam casas e que usam determinadas ferramentas. Se alguém puser um anúncio "vendo ferramentas para assaltar casas e explico como se faz", provavelmente não se considerá isso lícito, porque isso ainda fará aparecer mais ladrões, mesmo entre aqueles que nunca tinham pensado nisso.

    Não vejo em que é que a disponibilização de ferramentas para roubar acesso a contas não é exactamente a mesma coisa e em que é que essa diponibilização aumenta a segurança.

    ResponderEliminar
  12. @Dos_Passos

    Eu vejo por outra perspectiva: toda a gente deixa as portas abertas e sente-se segura; e agora vem alguém demonstrar que assim qualquer pessoa pode entrar e roubar, e que o melhor é comprarem uma fechadura em condições. E tu queres culpabilizar quem chama a atenção para isso e deixar que as pessoas continuem com a falsa ilusão de que estão seguras?

    São pontos de vista... :)

    ResponderEliminar
  13. Penso que ele só possuiu esse efeito caso o tráfego esteja a sair pela porta 80 (http).
    Se sair pela porta 443 (https), bem que pode tentar que não chega lá.

    ResponderEliminar
  14. Rui n 'e a porta, mas sim o tipo de trafego.
    claro q se associa mais vezes o HTTP à porta 80 e o SSL à porta 443

    Dos_passos embora o exemplo das portas abertas seja claro, era bom q vivessemos num mundo seguro, em q nem nos preocupasse-mos com isso.

    infelizmente, ha sempre gente com más intenções, e ai compete às empresas serem seguras por omissao, o q n fazem por desleixo e complicaçoes tecnicas

    ResponderEliminar
  15. Dos_Passos3/6/11 18:25

    Carlos Martins

    Provavelmente esta era uma boa altura para ficar calado, por já ter dito tudo.
    Mas, em jeito de balanço, na minha modesta opinião, com este post conseguiste que dez pessoas passassem a ter cuidado quando usam redes públicas de WiFi e que 20, que nem estavam para aí viradas, roubem o acesso a contas de outras pessoas.
    Isto não é "hacker branco" em que se demonstra que as vulnerabilidades existem, sem mostrar como podem ser exploradas, de modo as que as empresas as corrijam e que os utilizadores tenham cuidado.
    Por alguma coisa a app não está disponível no Android Market e não estará certamente disponível para iPhone com ou sem jailbreak.
    Os meus cumprimentos pelo excelente trabalho, mas desta vez, na minha modesta opinião, "eraste" ao promover, involuntariamente, a app.

    ResponderEliminar
  16. @Dos_Passos

    OK, mas... tens consciência que isto não é "novidade" nenhuma, certo? A notícia agora foi isto estar disponível numa App para Android, pois não faz mais (nem sequer faz tanto) como o Firesheep permite fazer - e que está disponível para qualquer Firefox (ou seja, nem "root" precisa ;)

    Noticiar isto parece-me tão "prejudicial" como aqueles vídeos que te demonstram como usar uma bola de ténis para abrir a porta de um automóvel. Não é por se mostrar como se faz que as pessoas vão virar "criminosas" - pelo contrário, chama a atenção para que os responsáveis façam coisas mais seguras.

    Mas como disse, cada um terá a sua visão sobre o assunto - e está no seu direito. :)

    ResponderEliminar
  17. Galera, como usar? Fala cada passo que tenho que fazer aí. Obg

    ResponderEliminar