用一个安卓应用就可以轻松地盗窃密码:学学怎么保护自己吧 - 极客范 - GeekFan.net

本文由 极客范 - 宁殿下 翻译自 Justin Dennis。转载请参见文章末尾处的要求。

这个标题你没看错:如果你和我用的是同一个WiFi网络,我很可能可以进入一些你的私人账户—就算我不是黑客也能做到。这就要归功于一款root过的安卓设备才能用的软件dSploit。你看,现在外面大多数网络都用HTTPS代替了HTTP,就是这个S保证了网络的安全。但是如果你去的哪一个网站没有用HTTPS,那么黑客就可以用dSploit进入那些账户了。

android-wifi-840x420

DSploit可能听起来挺邪恶的,但是它本身的意图是很好的。如果你了解了其他人是如何盗窃你的信息的,你就能学会怎样保护自己。但是拜托拜托拜托千万不要用这里的知识去盗窃别人的信息。仅仅只在你自己的设备和账户上测试,另外,它还有很多有意思的功能供你玩乐。

所以问题就是,你用这个软件都能做些什么呢?继续往下读。

窃取密码

当我们用公共WiFi网络的时候我们都会被警告自己的信息可能会被他人看到。我一直以为要做到这点得是很厉害的黑客才行。但是我错了。

事实证明这很容易。不过好消息是大多数网站用的都是HTTPS,可以很好地保护你的信息不被用dSploit的黑客看到。Facebook,Twitter和Google还有一些主流网站都默认使用HTTPS。事实上我在使用这个软件的时候,已经很那找到哪个网站不用HTTPS了。不过我还是找到了一个:InterPals。

像这种小一点的网站,如果你不巧和他们共用了同一个WiFi网络,那么他们就可以进入你的账户。你应该不会在InterPals上面有什么敏感的信息(当然也可能你有—毕竟我不了解你),但是如果你的密码安全度也这样杂乱无章,这个就是一个安全隐患。

举个例子,如果你的所有账户都用同一个密码呢?那就很危险了。如果一个黑客得到了一个安全度很低的密码,就像InterPals,那么他就可以进入你的银行网站,Facebook或者是PayPal账户。你应该对于不同的账户,尽可能用不同的密码。

窃取一段会话

这是一个比窃取密码等级略低一些的功能。窃取会话可以使用户监听任何通过WiFi发送的信息,进入任何被监视人所在页面(完整的登录信息)。同样的,这个对HTTPS网站是没有用的,但是很多网站只在发送登录信息这种敏感信息的时候用HTTPS,其他部分仍然可以被窃取,这样真的十分危险。

对于我的手机,我可以窃取我电脑上Amazon.com的会话层。这个软件可以使我进入我Amazon账户上的任何地方。很恐怖对吧?不过好消息是Amazon会在主要事件比如结算的时候,查看信用卡信息的时候让你输入密码。我能做的也只是把冬季加入购物车但是不能买。

我最初主要担心的是一键点击这个功能,亚马逊的设计让你买东西时只需要点一下就可以。事实上,这个一键点击命令应该被称为,点一下-选A款-输密码-再点击。所以我就不太担心陌生人可以窃取你的Amazon账户。但是至少他们能神不知鬼不觉的登录也挺可怕。

我还试过窃取我的大学网站。这个其实没什么用,除了能看看我都选了那些课还有我交的论文。除了感觉有点想跟踪狂有点变态以外,对我造不成什么实际影响。

我甚至还可以窃取我在XDA开发者论坛上的会话层。但是同样的,这个也没什么影响,黑客也只能狂发帖以至于让我被封号而已。

把网站上所有的图片都换掉

这个是软件最有意思的一个功能了。如果你不管安全问题只是想娱乐一下的话,只要下载这个软件然后连到你朋友用的WiFi网络就可以了。这个功能特别搞笑,如果你不信的话,这就是MakeUseOf这个网站所有图片都被换成马脸面具的样子。

怎么样,是不是特别有意思。马脸面具能让你忘了世界上所有的烦恼对吧?

可用性和用户界面

这个应用本身用起来很简单,但是你最好也有一些相当的技术知识。还有很多其他可用的功能我还不会,比如追踪,Port扫描,检查,发现漏洞,登录破解和伪造数据包。如果你是一个真正的安全大师,你会对这些其他功能很感兴趣,但是对于普通用户,我就给你展示MITM(中等水平人员)的部分。

MITM部分有我之前说过的所有功能:密码探测,会话窃取和替换图片。你也可以简单的探测一下,就可以记录所有通过的信息。

重定向功能有时候是一种很邪恶的软件,如果这个软件落入坏人之手的话。黑客可以把网页变成另外一个欺骗网站,冒充成Facebook或者是Google的样子,并让你输入登录信息,或者读者就会看到“请下载这个动画”这样的弹出窗口,可能他们知道自己已经下载过了但是还是会下载,于是就下载了病毒。

还有就是,这个应用会强迫自己进入景观模式,这个特别讨厌。当你试图窃取密码和会话层的时候,每隔几秒就会卡住30-40秒,导致我的手机崩溃了两次,要重新启动。这些都是在我的Galaxy S3上的经验,所以你们的情况可能不同。对于我来说这个软件日常使用的话太不稳定了,我可能只会用它耍一下朋友,测试一下自己的安全性,然后卸载了。

保护你自己

现在你害怕了吗?很好,现在呢你只需要购买我的anti-dSploit软件,3个月只需要——我开玩笑的!保护自己最好的方式就是在用公共WiFi网络,甚至受保护的WiFi 网络的时候都要十分小心,因为你可能在与陌生人分享你的信息,就像在大学校园里一样。

要一直用HTTPS。有个Firefox和Chrome浏览器的扩展应用叫HTTPS Everywhere可以强迫使你去的每一个网站都用HTTPS。虽然这个软件并不完美,但是也有很大帮助,你也可以在这篇文章里学一下怎样使用Firefox扩展应用。如果你有一个很喜欢的网站,显得HTTPS太过主流了,那么不要在公共WiFi上浏览。我说的就是你,InterPallers。

当你在用未加密的WiFi网络时,对于重新定向的网页要保持警惕。如果你输入的是Facebook.com结果网页出来是Favebook.com,让你输入登录信息或者是信用卡确认账户,千万不要输入!你还可以用VPN和隧道,具体描述详见这篇文章

我们还有5个Firefox的扩展应用8个Chrome的扩展应用可以帮助保护你。甚至还有一个Firefox扩展应用叫Blacksheep可以检测出来网络上是否有人在用dSploit。记住,永远在安全的网页上浏览。

你曾经在公共WiFi网络上被盗窃过信息吗?你还知道其他的安全措施吗?请在评论里告诉我们吧!

原文链接: Justin Dennis 翻译: 极客范 - 宁殿下

译文链接: http://www.geekfan.net/3431/

[ 转载请保留原文出处、译者和译文链接。]