Android app jat cookies op beveiligde netwerken

Een onbekende ontwikkelaar heeft de Android applicatie FaceNiff uitgebracht. Met die app is het mogelijk om onversleutelde cookies op de meeste WiFi-netwerken te stelen. De app voorziet gebruikers van een heel eenvoudige interface om authenticatiegegevens van populaire websites als Twitter en Facebook te kapen.

Verkeer doorverwijzen

De applicatie lijkt daarmee op Firesheep, maar werkt in tegenstelling tot die add-on voor Firefox ook op draadloze netwerken die beveiligd zijn met WPA- of WPA2-versleuteling. De Android-app gebruikt daarvoor arp spoofing. Die techniek verwijst al het lokale verkeer langs het apparaat van de aanvaller.

Hoewel de draadloze verbinding versleuteld mag zijn, geldt dat niet voor de verbinding naar de website toe. De gebruiker moet de SSL-versleuteling die sites als Facebook en Hotmail optioneel aanbieden wel uitgeschakeld hebben, anders gaat het cookie toch versleuteld over internet. Een gebruiker moet ook toegang hebben tot het draadloze netwerk.

Idee is niet nieuw

De applicatie voor Android doet overigens niets nieuws. Tooltjes voor computers zoals bijvoorbeeld SSLSniff kunnen al jarenlang hetzelfde en zijn soms zelfs veel krachtiger. Met FaceNiff kan nu een heel grote groep gebruikers echter zonder al te veel moeite iets waar voorheen toch een programma zonder gui voor nodig was.

En hoewel de applicatie, in tegenstelling tot Firesheep, geautomatiseerde functies mist om inloggegevens te stelen, is het omzeilen van de netwerkbeveiliging een optie die de software toch net iets gevaarlijker maakt. Bovendien is het appje nog in ontwikkeling, dus zou het kunnen dat de ontwikkelaar binnenkort een tooltje toevoegt om logingegevens automatisch te oogsten.

FaceNiff is overigens niet in de Android Market beschikbaar en mensen die de sotware willen gebruiken hebben een toestel met roottoegang nodig. Dat laatste is echter met de meeste apparaten niet moeilijk te verkrijgen.