2011年6月2日 星期四

FaceNiff 單鍵駭進無線網路中未開啟 HTTPS 設定的Facebook帳戶

上面這個影片告訴我們什麼呢?形象化的來說,就是當我們有一天在某個咖啡店享用著免費無線網路時,很開心的登入自己的Facebook、Twitter帳戶,然後旁邊一個拿著Android手機的人,有可能透過一個叫做FaceNiff的App輕易獲取我們帳戶的控制權,然後隨意發表訊息。

這個真實故事主要是警告我們,在WiFi無線網路環境下有很多安全風險之前已經有一個Firefox的套件叫做「Firesheep」,可以掌控同一個無線網路環境下其它用戶的Facebook、Twitter帳戶。而現在這個叫做「FaceNiff」的Android App更厲害,因為就算無線網路環境已經使用WEP、WPA、WPA2加密,FaceNiff還是可以駭進同一個WiFi環境下正在使用的Facebook、Twitter帳戶。

而唯一的解決方法,就是我們在使用公用無線網路環境時一定要使用加密連線。現在Facebook、Twitter等網站服務都已經內建「強制https加密連線」的功能,一定要記得事先做好設定。

 

本文的目的不是要推廣什麼軟體,而是要提醒大家使用「HTTPS加密連線」的重要性,所以文中就不附上Firesheep或FaceNiff的連結了。

「WiFi無線網路」對於現代人的行動工作來說可能是非常倚賴的服務,例如各種餐廳、咖啡店、公共場所可能都會提供無線上網功能,但是在使用這類服務的同時,也要注意其安全風險。

例如一個使用FaceNiff的人,他只要跟你登入同一個無線網路中(例如你們都坐在同一個咖啡店裡,甚至他可能只是拿著手機經過餐廳前?),然後你在使用臉書、推特、Amazon、YouTube等服務時沒有使用HTTPS加密連線登入,那麼他就可以輕易「掌控」你的帳戶。

 

所以重點就是要使用加密連線。下面我就補充一下在Facebook、Twitter中如何強制開啟HTTPS設定。

 

Facebook中,到右上方帳號下拉選單裡選擇【帳號設定】。

https-01

接著在第一個頁面拉開「帳號安全」設定,並勾選「安全加密瀏覽模式」即可。

https-02

 

Twitter中,也是到右上方的帳號下拉選單點擊【Settings】。

https-03

接著同樣在第一個頁面,勾選最下方的「Always use HTTPS」即可。

大家記得使用社群服務前,最好還是強制使用加密連線,雖然這會讓上網速度變得慢一點點,但安全還是最重要的喔!

https-04

25 則留言 :

  1. 可惜Plurk沒有相關的設定

    回覆刪除
  2. 不過那個軟體也無法獲取plurk的控制權限就是了

    回覆刪除
  3. 這看起來像是獲取封包片段,進行拼湊的樣子
    Skype也是可以用類似的方法達到破解

    回覆刪除
  4. nice one, thanks for share!

    回覆刪除
  5. 實際使用後,它只能擷取網域內的帳密
    不是我先前所說的擷取封包片段
    這個問題主要是因為Facebook的照號跟密碼
    是以明碼的方式傳遞,透過封包擷取或側聽
    其實很容易就辦到了

    之前有一個更有趣
    直接掃描在地的wifi訊號
    不必加入網域就可以偷Facebook帳號

    回覆刪除
  6. "主要是因為Facebook的帳號跟密碼
    是以明碼的方式傳遞"
    那如果用
    https://www.facebook.com/ 來登入,該app是否就無法成功?? ( 抱歉,我沒有智慧型手機可以測試

    回覆刪除
  7. FaceNiff的設計者自己說如果使用HTTPS的話就無法抓取到控制權

    回覆刪除
  8. facebook有些遊戲/程式沒https加密,使用時還是會出事的…

    回覆刪除
  9. 忍一下,出門在外不要玩遊戲就好囉

    回覆刪除
  10. 如果是說"主要是因為Facebook的帳號跟密碼是以明碼的方式傳遞". 玩遊戲時該不涉及密碼的傳遞. 至少那些遊戲跟程式不應能存取密碼. 但之間傳輸什麼其他資料. 又能不能截取.. =~=''

    回覆刪除
  11. 唔....害我有點想去找 FaceNiff 下在玩玩看 XD

    回覆刪除
  12. 那到底要不要推廣從 https://www.facebook.com/ 登入

    網路上很多的介紹文只會說從 http://www.facebook.com/

    回覆刪除
  13. 其實這點我也不確定當勾選強制HTTPS後

    假如第一次從HTTP網址做登入,是不是當下的帳密傳遞就有加密連線?

    歡迎知道的朋友提供解答

    回覆刪除
  14. Facebook如果改用SSL加密連線
    理論上這種偷帳號的手法就沒用了
    除非你能hack SSL證書
    SSL加密連線的缺點是沒有頁面快取功能(cache)
    Facebook瀏覽上會變得比一般瀏覽還要慢上一點

    回覆刪除
  15. "就算無線網路環境已經使用WEP、WAP、WAP2加密,..."
    WAP應為誤植,正確應該是WPA及WPA2

    另外WEP已被證實有設計上的缺陷,極易被破解
    在外或在家自行設定無線網路時,最好選用WPA/WPA2.

    回覆刪除
  16. 感謝說明,這邊確實打錯了

    回覆刪除
  17. 但是FB設定https之後,用google的瀏覽器擴充功能很多就不能用了

    回覆刪除
  18. 其實電腦上也有Wireshark等軟件,使用上也好容易,http://computer.iprolab.com/556/very-simple-very-dangerous-sniffer-http-connection-password-taking-demonstration ,真的極之危險!

    回覆刪除
  19. 當然是不合法的,所以才只有教大家防範方法囉

    回覆刪除
  20. That is really interesting, You are an overly skilled blogger.
    I have joined your rss feed and stay up for seeking more of your great post.
    Additionally, I have shared your website in my social networks

    my web page :: zulutrade

    回覆刪除

相關文章: