Você leu o título certo: se você e eu estivéssemos na mesma rede Wi-Fi, provavelmente conseguiríamos fazer login em algumas de suas contas confidenciais - e nem sou um hacker. Isso é graças a um aplicativo para dispositivos Android com root, chamado dSploit. Você vê, a maioria dos sites por aí hoje em dia usa HTTPS em vez de HTTP, e é esse S extra que torna a navegação na Web segura. Mas se qualquer um dos sites que você usa não usa HTTPS, um hacker pode entrar nessas contas usando o dSploit.
O DSploit pode soar bem malicioso na época, mas suas intenções são surpreendentemente boas. Se você entender como outras pessoas podem invadir suas informações, você pode aprender a se proteger. Por favor, por favor, por favor, não use nenhuma das informações deste artigo para roubar informações de outras pessoas. Só teste em seus próprios dispositivos e contas. Além disso, tem alguns outros recursos que são muito divertidos de se jogar.
Então, com isso fora do caminho, o que tudo o que você pode fazer com este aplicativo? Leia mais para descobrir.
Roubar senhas
Estamos todos avisados ao fazer login no WiFi público que nossas informações podem ser visualizadas por outras pessoas na rede. Eu sempre vi isso e pensei que seria necessário um hacker realmente avançado para fazer isso. Eu estava errado.
Acontece que é bem fácil. A boa notícia é que a maioria dos principais sites usa HTTPS, mantendo suas coisas protegidas contra wannabe hackers usando o dSploit. Facebook, Twitter, Google e a maioria dos principais sites usam HTTPS por padrão. Na verdade, ao usar esse aplicativo, foi muito difícil encontrar um site que não usasse HTTPS agora. Mas eu encontrei um: InterPals.
São sites menores como esses que podem ser acessados por pessoas com intenção maliciosa, caso você esteja na mesma rede Wi-Fi que eles. Eu não imagino que você tenha informações muito sensíveis sobre InterPals (talvez você faça - eu não conheço você), mas isso pode abrir o gateway se suas outras prioridades de segurança não estiverem em ordem.
Por exemplo, você tem uma senha em todas as suas contas? Isso é perigoso. Se um hacker obtiver uma senha de baixo nível, como o InterPals, poderá acessar o site do banco, o Facebook ou a conta do PayPal. Você deve tentar variar suas senhas tanto quanto possível nas diferentes contas.
Seqüestrar uma sessão
Este é o primo ligeiramente menos capaz do recurso de roubo de senhas. O sequestro de sessão permite ao usuário interceptar informações enviadas via Wi-Fi e acessar qualquer página (informações de login intactas) em que a vítima estava. Novamente, isso não funcionará com sites HTTPS, mas muitos sites só usam HTTPS ao enviar informações confidenciais de login, deixando outras partes da sessão abertas ao seqüestro, o que ainda é relativamente perigoso.
Do meu telefone, eu pude seqüestrar a sessão da Amazon.com que estava sendo executada no meu computador. Isso me deu acesso a tudo na minha conta da Amazon. Aterrorizante, certo? Bem, a boa notícia é que a Amazon tem que verificar sua senha antes de grandes eventos, como check-out, visualizar suas informações de cartão de crédito, etc. Tudo o que eu realmente consegui fazer foi adicionar itens ao meu carrinho sem precisar comprá-los.
Minha principal preocupação era inicialmente com o pedido de 1-Click, a maneira extravagante da Amazon de permitir que você comprasse itens com apenas o apertar de um botão. Acontece, no entanto, que o ordenamento 1-Click deveria ser chamado de ordenação 1-Click-Then-Type-A-Password-Then-Click-Again. Então eu não me preocuparia muito com estranhos seqüestrando sua conta na Amazon. Ainda assim, o fato de que eles poderiam entrar como você sem você nunca saber é estranho para dizer o mínimo.
Eu também consegui seqüestrar a sessão do site da minha faculdade. Não há muita coisa que alguém possa fazer com essa informação, exceto para ver as aulas que estou fazendo e talvez ler alguns dos meus ensaios enviados. Além de ser assustador e stalker-ish, isso realmente não me afetaria muito terrivelmente.
Eu poderia até mesmo seqüestrar minha sessão nos fóruns do XDA Developers. Mas, novamente, isso não me afeta a menos que o hacker queira apenas spam como louco e me banir.
Substituir todas as imagens em um site
Agora, esta é a parte mais divertida deste aplicativo. Se você não se importa com a segurança e quer se divertir, baixe este aplicativo e conecte-se à mesma rede WiFi de um de seus amigos. Esse recurso é absolutamente hilário, e se você não acredita em mim, aqui está o site do MakeUseOf com todas as fotos substituídas por uma foto minha usando uma máscara de cavalo.
Venha, me diga que não é engraçado. Máscaras de cavalo apenas fazem você esquecer todos os problemas do mundo, não é?
Usabilidade e interface do usuário
O aplicativo em si é bastante simples de usar, mas você provavelmente será melhor se tiver um bom nível de conhecimento técnico. Há muitos outros recursos disponíveis neste aplicativo que eu não abordei, incluindo Rastreamento, Scanner de Portas, Inspetor, Localizador de Vulnerabilidades, Cracker de Login e Packet Forger. Se você é um verdadeiro mestre de segurança, esses outros recursos podem interessá-lo, mas para o usuário médio, deixe-me mostrar a você a seção MITM (Man In The Middle).
A seção MITM tem todos os recursos pelos quais passei antes: Sniffer de senha, Session Hijacker e Replace Images. Você também pode fazer um Sniff Simples, que irá registrar todas as informações que estão chegando.
O redirecionamento pode ser a coisa mais maliciosa aqui se esse aplicativo cair em mãos erradas. O hacker poderia redirecionar alguém para um site fraudulento que posa como Facebook ou Google e pedir informações de login, ou a vítima poderia obter um desses pop-ups "Faça o download do Flash agora", mesmo que eles tenham certeza de que já baixado flash, mas eles fazem isso de qualquer maneira e, BAM, vírus.
Além disso, o aplicativo se força no modo paisagem, o que é infinitamente agravante. Ele iria congelar por cerca de 30-40 segundos a cada poucos segundos enquanto farejava senhas ou tentava seqüestrar as sessões, e travava meu celular duas vezes, fazendo com que ele reinicializasse. Essa é apenas a minha experiência pessoal no meu Galaxy S3, então sua milhagem pode variar. Para mim, o aplicativo era instável demais para pensar em usá-lo diariamente. Eu poderia usá-lo para brincar um pouco com meus amigos, testar minha própria segurança e depois me livrar dela.
Proteja-se
Você está com medo ainda? Perfeito, agora basta comprar o meu aplicativo anti-dSploit por apenas 3 pagamentos mensais de - estou brincando, estou brincando! A melhor maneira de se proteger é ter um cuidado especial quando estiver em WiFi pública ou até em WiFi protegido que você potencialmente compartilhe com pessoas não confiáveis como em um grande campus universitário.
Sempre use HTTPS. Existe uma extensão do Firefox e do Chrome chamada HTTPS Everywhere que tentará forçar todos os sites que você visita a usar o HTTPS. Não é perfeito, mas pode ajudar, e você pode aprender como usar a versão do Firefox neste artigo útil Criptografar sua Web Browsing com HTTPS Everywhere [Firefox] Criptografar sua Web Browsing com HTTPS Everywhere [Firefox] HTTPS Everywhere é uma dessas extensões que somente o Firefox possibilita. Desenvolvido pela Electronic Frontier Foundation, o HTTPS Everywhere redireciona você automaticamente para a versão criptografada dos sites. Funciona no Google, Wikipedia e ... Leia Mais. Se você tem um site absolutamente mais favorito que parece achar que o HTTPS é muito mainstream, evite usá-lo no WiFi público. Estou olhando para você, InterPallers.
Em conexões sem segurança, desconfie de páginas da Web redirecionadas. Se você digitar Facebook.com e Favebook.com aparecer, pedindo suas informações de login ou cartão de crédito para confirmar sua conta, não faça isso! Você também pode usar VPNs e túneis, descritos mais detalhadamente neste artigo. Como combater riscos de segurança de Wi-Fi ao se conectar a uma rede pública Como combater riscos de segurança de Wi-Fi ao se conectar a uma rede pública Como muitas pessoas já sabem, conectando-se a um público, rede sem fio não segura pode ter sérios riscos. Sabe-se que isso pode fornecer uma abertura para todos os tipos de roubo de dados, particularmente senhas e informações privadas ... Leia Mais.
Também temos 5 complementos do Firefox Fique seguro e privado com esses 5 complementos de criptografia [Firefox] Mantenha-se seguro e privado com esses 5 complementos de criptografia [Firefox] As cifras foram usadas ao longo da história para manter sigilo e segurança para peças sensíveis De dados. Em vez de deixar informações importantes a descoberto e disponíveis a qualquer pessoa para leitura, essas cifras mantiveram o conhecimento ... Leia mais que pode ajudar a proteger você e 8 extensões do Chrome As 8 principais extensões de segurança e privacidade para o navegador Chrome Extensões de segurança e privacidade para o navegador Chrome A Chrome Web Store do Google hospeda muitas extensões que podem proteger sua segurança e privacidade durante o uso do Chrome. Se você deseja bloquear JavaScript, plug-ins, cookies e scripts de rastreamento ou forçar sites a criptografar seu tráfego, ... Leia Mais. Há até um add-on do Firefox chamado Blacksheep que pode ajudar a detectar aplicativos como o dSploit na rede. Lembre-se de sempre praticar navegação segura na web.
Você já teve suas informações roubadas em uma rede WiFi pública? Alguma outra dica para ficar seguro lá fora? Deixe-nos saber nos comentários!