FaceNiff: Android-Tool hackt Facebook-, Twitter-, Amazon-Accounts in Sekunden

Frank Ritter
21

Mit einem Android-Tool wird das Hacken von Facebook-, Twitter-und anderen Accounts selbst für Laien zum Kinderspiel. Einzige Bedingung: Das Android-Phone muss im selben WLAN wie das Opfer eingebucht sein. Das FireSheep-Prinzip wird mit FaceNiff noch einmal erweitert und stellt eine immense Gefahr für die persönlichen Daten von Millionen Facebook-Nutzer dar. Wir nehmen das Tool unter die Lupe

FaceNiff: Android-Tool hackt Facebook-, Twitter-, Amazon-Accounts in Sekunden

Als im letzten Sommer die Firefox-Erweiterung FireSheep die Runde machte, war die Verblüffung groß: So musste man sich nur mit einem Laptop in ein offenes WLAN setzen und konnte problemlos die Social Network-Accounts der Umstehenden einsehen, sich dort einloggen und Unfug treiben.

faceniff-sniffing

Ein neues Sniffing-Tool für gerootetet Android-Handys namens FaceNiff setzt die Hürden nun noch niedriger. Einmal gestartet, listet es innerhalb kürzester Zeit Facebook-, Twitter-, Amazon- und YouTube-Accounts zahlreicher Nutzer auf, die im gleichen WLAN eingebucht sind, mitsamt deren Namen. Das funktioniert selbst wenn das WLAN mit der starken WPA2-Verschlüsselung gesichert ist.

Wir haben die Probe aufs Exempel gemacht, uns FaceNiff samt Unlock Code besorgt und in unserem Firmen-WLAN getestet. Man startet das Tool, indem man optional den “Passive” und den “Stealth Mode” einstellt und auf den großen “Power”-Button drückt. Das war es schon. Schon nach ein paar Sekunden werden in der Liste zahlreiche hackbare Accounts aufgeführt.

Beruflich und privat wird auf unserer Firmenetage viel auf Facebook gesurft. Deswegen werden uns gleich nach dem Start der Accountsuche in FaceNiff vor allem Facebook-Accounts, aber auch ein paar Twitter- und Amazon-Benutzerkonten angezeigt. Insgesamt etwa zwei Dutzend Accounts.

Ein Tap auf einen Account und man ist über die Weboberfläche im mobilen Browser in dem entsprechenden Account eingebucht. In diesem Beispiel habe ich mich testweise bei Daniel (mit dessen Erlaubnis) eingebucht.

faceniff

In einem weiteren Test gelang es uns problemlos, uns ohne Passworteingabe in den androidnews.de-YouTube-Account einzubuchen:

faceniff-youtube

Tja, so einfach ist das. App starten, einloggen und — wenn man keine Skrupel hat — Unsinn veranstalten. Erschreckende Szenarien sind denkbar: “Honeypots” in der Fußgängerzone, mitgesniffte Accountdaten auf Konferenzen, gekaperte Benutzerkonten von Politikern und Promis, und so weiter… Technisch wird hier immerhin kein Passwort gestohlen, sondern lediglich ein Session Cookie übernommen, mit dem sich ein Nutzer zeitlich begrenzt gegenüber dem Webdienst identifizieren kann. Nur können bereits damit genug Informationen gesammelt werden, um einen Nutzer, aber auch dessen Kontakte zu kompromittieren, etwa über Twitter-DMs oder Facebook-Mails.

Das Verfahren ist eng verwandt mit der kürzlich bekannt gewordenen Lücke in verschiedenen Google-Apps. Wir wiesen bereits darauf hin, dass das Problem unverschlüsselter Autentifizierung bei Weitem nicht auf Google und Android beschränkt ist, was sich hier eindrucksvoll zeigt. Aber was kann man dagegen tun?

Die besten Sprüche aus der Kindheit für Facebook, WhatsApp, Twitter und Co. GIGA Bilderstrecke Die besten Sprüche aus der Kindheit für Facebook, WhatsApp, Twitter und Co.

FaceNiff – 5 Wege, um dem Android-Sniffer zu begegnen

  • Als Nutzer sollte man beim Surfen immer die bestmögliche Sicherheitsstufe wählen. Das heißt: Twitter, Facebook und Co. immer mit vorangestelltem https:// ansurfen.
  • Nach der Benutzung von Onlinediensten immer ausloggen.
  • Bei Facebook in den Kontoeinstellungen unter “Kontosicherheit” die bekloppt übersetzte Option “Sicheres Durchstöbern (https)” sowie “Anmeldebestätigung” aktivieren.
  • Die Firefox-Erweiterung HTTPS Everywhere verwenden, die bei unterstützten Seiten von selbst auf SSL-Verbindung umstellt.
  • WLAN-Betreiber solltern unbedingt ihre(n) Router so einstellen, dass sie ausschließlich das Verschlüsselungsverfahren WPA2 mit EAP verwenden, NICHT WPA-PSK oder WPA2-PSK, WEP sowieso nicht.

Hinweis zu diesem Artikel: Wir haben lange überlegt, ob wir diesen Artikel veröffentlichen sollten, da mit FaceNiff sogar Laien großen Schaden anrichten können. Wir haben uns aber für die Veröffentlichung entschieden, weil wir glauben, dass es wichtig ist, dass diese Information öffentlich ist. Ohne diesen Artikel gäbe es FaceNiff und ähnliche Tools trotzdem (genauso wie die Berichterstattung darüber), aber weniger Nutzer wären sich der Tatsache bewusst. Firmen wie Facebook und Twitter müssen endlich SSL-Verbindungen obligatorisch machen, ansonsten bleiben Benutzeraccounts selbst für Drittklässler hackbar.

Weitere Themen: Android, Amazon

Neue Artikel von GIGA ANDROID

GIGA Marktplatz
}); });