Dopo il programma Facebook Controller, la nota applicazione FireSheep, adesso arriva l'app FaceNiff a non far dormire sogni tranquilli agli utenti di Facebook. FaceNiff è un'applicazione per smartphone con sistema operativo Android, che rende il furto delle credenziali di accesso a Facebook e ad altri servizi online di social media, un gioco da ragazzi. L’applicazione può essere utilizzata per rubare i cookies non criptati su moltissime reti Wi-Fi, dando quindi all’utilizzatore, una facile e intuitiva interfacia che permetta a chiunque la sottrazione di tokens inviati via Facebook, Twitter a tutti gli altri popolari siti per i quali gli utenti non si curano di usare le connesioni SSL criptate.
Non servono particolari conoscenze perché l’app richiede solo la modifica per abilitare il root (massimi privilegi) sullo smartphone dell’attaccante e poi basterà una rete Wi-Fi (anche protetta da crittografia WPA) per iniziare l'hijacking del profilo vittima. Di solito, la causa principale che può portare all’hijacking del profilo Facebook non è l'abilità dell'attaccante, ma l'incauto utilizzo da parte delle vittima. Ricordiamo che Facebook permette di impostare una connessione sicura su protocollo HTTPS in sostituzione di quella normale, certamente meno sicura.
FaceNiff sfrutta al meglio questa imprudenza e con l’aiuto di uno smartphone connesso alla stessa rete della persona che utilizza Facebook permette all'attaccante di crackare un qualunque profilo in pochi istanti. Il funzionamento è semplice: supponiamo di essere connessi alla rete pubblica di un albergo o di un bar o di un'internet cafè e che alla stessa rete sia connesso anche un hijacker con l’applicazione in esecuzione e in attesa di una vittima. L'utente si connette senza utilizzare l’HTTPS ed effettua il login su Facebook: dopo pochi secondi l’applicazione FaceNiff permetterà all’altra persona di avere il controllo completo dell'account dell'utente vittima così, tra le altre azioni, l'attaccante potrà pubblicare a nome e per conto nostro.
Facebook sta spingendo perchè tutte le applicazioni possano passare all'HTTPS entro Ottobre, ma già le applicazioni ed i giochi più noti (come FarmVille) sono perfettamente funzionanti sotto connessione crittografata. E' per questo che adesso vi consigliamo vivamente di utilizzare quando vi connettete su Facebook l'HTTPS. La navigazione protetta è una funzione che, quando attiva, fa in modo che il vostro traffico (ovvero tutte le attività che eseguite) su Facebook venga crittografato, rendendo ancora più difficile l'accesso alle vostre informazioni presenti su Facebook da parte di persone non autorizzate.
Per attivare l'HTTPS Facebook, accedete alla pagina Impostazioni account. Cliccate sul link "modifica" accanto a Protezione dell'account, selezionate la casella sotto "Navigazione protetta (https)", quindi cliccate sul pulsante "Salva". Se visualizzate un messaggio d'errore da parte di Facebook del tipo: "Passare alla connessione normale (http)?" quando cercate di aprire un'applicazione di terzi, è perché l'applicazione a cui state cercando di accedere non supporta la navigazione protetta (https). Per usare questa applicazione, sarà sufficiente cliccare su "continua". In questo modo verrà disattivata temporaneamente la navigazione protetta (https) mentre usate l'applicazione, per poi essere riattivata quando avrete finito.
I certificati digitali sono utilizzati per convalidare gli utenti e gli host su Internet. Quando un sito web richiede una connessione sicura, per impostazione predefinita verrà utilizzato il certificato appropriato. Nel caso di Facebook, potreste ricevere un avviso di sicurezza quando tentate di accedere al social network con connessione HTTPS, perchè il certificato digitale non viene riconosciuto dal browser di navigazione. Non curatevi del messaggio che ricevete e proseguite normalmente. Tenete presente che, se attivate la navigazione protetta, le altre sessioni Web attive di Facebook verranno terminate. Ciò significa che, se avete effettuato l'accesso a Facebook in un altro browser Web mantenendolo attivo, dovrete reinserire i vostri dati di accesso. Sappiate che questa funzione non è al momento disponibile per la navigazione sul cellulare. Immagine 1: Mylot
Nessun commento:
Posta un commento