Program krakowskiego studenta pozwala przechwytywać profile na Facebooku

Polski programista Bartosz Ponurkiewicz opracował aplikację na telefony z systemem Android, która pozwala na przechwytywanie dostępu do kont na Facebooku i innych portalach społecznościowych.

Nazwana FaceNiff aplikacja pozwala przejmować połączenia do Naszej Klasy, Facebooka, Twittera, YouTube i sklepu Amazon . Stosowana przez FaceNiff metoda działa, jeśli ofiara łączy się z siecią przez niezabezpieczoną (niezaszyfrowaną) sieć bezprzewodową , oraz jeśli sam dostęp do aplikacji nie korzysta z połączenia szyfrowanego. FaceNiff podszywa się pod komputer praworządnego użytkownika i przejmuje informacje potrzebne do nawiązania połączenia jako inny użytkownik. Poniżej filmik autorstwa blogera Łukasza Więcka, prezentujący możliwości FaceNiffa:

 

Poprosiliśmy autora FaceNiffa o odpowiedź na kilka pytań:

Skąd pomysł na FaceNiffa? I po co?

Aplikację zrobiłem jako zaliczenie projektu z Programowanie Systemów Mobilnych na uczelni. Pierwsza wersja obsługiwała jeszcze podsłuchiwanie rozmów gadu-gadu nawet tych w wersji 10 używających SSL (wymuszała używanie połączeń nieszyfrowanych).

Wykorzystana w FaceNiffie metoda podszywania się, (nazywana przez fachowców "ARP spoofing"), to nie jest nowość. Jaka jest zatem "wartość dodana" Faceniffa?

Praktycznie żadna. Silnik jest napisany w języku C z myślą o obniżeniu zużycia CPU i pamięci. To nie jest jakieś innowacyjne narzędzie. Każdy z podstawową wiedzą o C byłby w stanie to napisać :)

Wśród badaczy bezpieczeństwa istnieje zwyczaj "Responsible Disclosure" - odpowiedzialnego ujawniania - ujawniania odkrytych luk w zabezpieczeniach po zawiadomieniu producenta sprzętu czy oprogramowania aby dać mu czas, a jednocześnie wywrzeć nacisk w kierunku załatania odkrytej luki. Czy uważasz, że FaceNiff to "Responsible Disclosure"?

Uważam, że to nie jest w ogóle "disclosure". ARP spoofing i session hijacking [przechwytywanie połączeń między komputerami - red] są znanymi technikami od wielu wielu lat. Tyle tylko, że nikt na Androida jeszcze tego nie napisał... Pakiet który umożliwia ARP spoofing jest chyba w każdej dystrybucji Linuksa (dsniff).

Nie boisz się, że użytkownicy mogą niewłaściwie wykorzystać FaceNiffa?

Z jednej strony tak, ponieważ w prosty sposób można włamać się na czyjeś konto. Z drugiej strony istnieje prawdopodobieństwo, że aplikacja uświadomi użytkowników internetu o niebezpieczeństwach płynących z korzystania z publicznych sieci WiFi (również tych hotelowych etc. etc.).

Skoro FaceNiff ma być narzędziem uświadamiającym, to dlaczego chcesz zarabiać na funkcji która akurat edukacyjna nie jest - przechwytywaniu więcej niż 3 profili na raz?

Jestem jeszcze studentem :-) Nie widzę też nic złego w próbie zarobienia trochę grosza. Do uświadomienia znajomych wystarczy darmowa wersja. Jeżeli komuś zależy na tym aby używać tego często wtedy może równie dobrze postawić mi piwo za czas spędzony na pisaniu aplikacji.
Więcej o: