Bárkiből hacker lehet egy androidos telefonnal

2011.08.09. 07:19 Yarner

A felröppent hírek szerint a jövő héttől egy új korszak veszi kezdetét, ekkor jelenik ugyanis meg majd a Marketen a szerény Anti, azaz Android Android Network Toolkit névre hallgató (várhatóan ingyenes) alkalmazás, ami a korábban számítógépeken nagy vihart kavart Firesheep közeli rokonának tekinthető.

Anti barátunkat pénteken, a Las Vegasi Defcon konferencián jelentette be a Zimperium nevű biztonsági cég, az ott összegyűlt szakértők legnagyobb döbbenetére. A program nem más, mint egy "hálózati behatolás tesztelő" eszköz, azaz kilistázza a közelben látható nyitott hálózatokat, amiken keresztül egy gombnyomással támadást lehet indítani a hálózaton tartózkodó többi sebezhető gép ellen - legyen az PC, iPhone vagy éppen Android.

A felkínált lehetőségek között megtalálható a "man-in-the-middle", azaz hallgatózás, és bizonyos támadási lehetőségek is, mint pl. kinyitni egy PC-n a DVD-tálcát,  elindítani a számológépet, vagy éppen lefotózni az áldozat képernyőjét (ezek klasszikus behatolási tesztek). 

 

A Ziperium ugyan alapvetően tesztelési célokra szánja az alkalmazást (a szakmai körökben ezt "fehér kalapos hackelésnek" nevezik), és azt remélik, az Anti segít majd világszerte tudatosítani a felhasználókban, hogy megfelelő biztonsági intézkedések nélkül ne használják az eszközeiket (a Firesheepnek is volt köszönhető, hogy a Twitter és a Facebook is lekódolta a beszélgetéseket).  Az azonban nyilvánvaló, hogy az alkalmazás jelenlegi formájában is lehetőséget ad számos rosszindulatú támadásra. Az Anti a felhasználók józanságára fog apellálni - egy Star Wars scroll-szerű szövegben a következő intés áll majd a programban: "A hackelés nem csak a kiválasztott kevesek privilégiuma. Az Anti a Te tökéletes mobil segítőd, aki megteszi helyetted. Kérlek, ne feledd: a nagy hatalommal nagy felelősség is jár! Használd bölcsen!".

Hogy ez vajon mennyire lesz elég, azt hamarosan megtudhatjuk.  

Forrás: Forbes


Címkék: hírek biztonság android app alkalmazások

A bejegyzés trackback címe:

http://androlib.blog.hu/api/trackback/id/tr493136010

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

battila.hu 2011.08.09. 10:03:31

A man-in-the-middle az nem hallgatozas. Az a sniffer.
A man-in-the-middle az valojaban a ket kommunikacios fel koze ekelodes.

Elotte:

A ========= B

M-i-t-m:

A ======== man-in-the middle ========= B

Eloszor az A kozvetlenul B-vel beszelget, a tamadas soran az A a kozben allo emberrel beszelget es B is.

Mintha egy tolmacs lenne ott, aki azt es arra fordit amit akar. pl.: ATM automata es a bank kozotti forgalomnal az ATM-nek visszaadhatja, hogy nem sikerult a tranzakcio, a banknak meg kuldhet jovahagyast, hogy mehet az androlib szamlajarol a 20 misi az enyemre.

Yarner · http://androlib.blog.hu 2011.08.09. 10:16:57

@battila.hu: Kösz, ezt ilyen konkrétan nem tudtam. Hallgatózni is lehet vele, de ezek szerint még durvább :-)

battila.hu 2011.08.09. 10:47:34

Felreerted. A hallgatozas az passziv. Elkapod a csomagokat es lerakod/feldolgozod vayg akarmi.

A man-in-the-middle -nel elkapja a csomagokat, kibontja, ujracsomagolja es tovabbitja. Az, hogy kozben a tartalmat valtoztatja vagy sem mar mellekes. A csomagokat midnenkeppen atirja, hiszem a tcp/ip fejleceknek, checksum-oknak, ... nem szabad barmifele tamadasra utalo jelre utalniuk.

Yarner · http://androlib.blog.hu 2011.08.09. 10:53:18

@battila.hu: Értettem, csak próbálom menteni, amit leírtam :-) (az eredeti cikkben így szerepelt, onnan vettem át, és nem volt időm mélységében utánamenni a témának, pedig érdekelt). Ne égess az olvasók előtt, még kiderül, hogy nem vagyok biztonsági szakember :-)
Amúgy kösz!

battila.hu 2011.08.09. 11:40:02

Senki sem varja, hogy egy cikk postoloja szakerto is legyen. De nem art utanaolvasni a dolgoknak, mielott kirakja.
Ez olyan beszmekkes:) Kiveve, hogy itt legalabb van forrasmegjeloles:) es nem a jovendomondassal foglalkozik az oldalon a cikkek 90%-a:)

manson karcsi · goo.gl/FVvVX 2011.08.09. 11:46:27

script kiddie karácsony van!

szcsongor 2011.08.09. 14:53:29

@battila.hu: Most nem azért, de a végeredmény szempontjából a passzív hallgatózás és a csomagok érintetlenül hagyásával végzett MITM nem ugyanaz? Én sem vagyok szakértő, csak kérdezem...

battila.hu 2011.08.09. 15:21:03

A MITM-nel nem tudod erintetlenul hagyni a csomagokat.

Loyal - www.loyalmunkaruha.hu · http://www.loyalmunkaruha.hu 2011.08.11. 13:44:49

gratulálok, most már akkor a 6 éves Pistike is feltörheti a telefonomat a buszon ülve? YES! "-.-

Amőbandita 2011.08.12. 11:04:32

És hogyan lehet levédeni ilyen ellen a telót/számítógépet? Ha mobilnetezek a buszon, bárki ránézhet a telómra? Vagy ha ingyenes wifi-t használok egy kávézóban, akkor is?

Theo03 2011.09.16. 11:47:24

Megtalálható ez a program még a marketen? Mert én hiába keresem, de még csak hasonlót se találok...

Yarner · http://androlib.blog.hu 2011.09.16. 12:02:04

@Theo03: Még nem jelent meg, jelenleg bétában van, tesztelik.
A béta sajnos zárt körű, és hiába könyörögtem, nekem nem adtak :-)
zimperium.com/Android_Network_Toolkit.html
Annak alapján, amit most lehet látni, úgy néz ki, hogy az ígéretekkel ellentétben erősen korlátozott lesz - az ingyenes változatban le lesznek tiltva a támadási lehetőségek, a fizetős (10USD) erősen korlátozott lesz (havi 3 támadás?), és cégek kaphatnak majd teljesen korlátlan hozzáférést, egyéni árajánlat alapján.

Kérdés persze, ha már hackelésről beszélünk, mikro jelenik meg a feltört változat, vagy egy ennek alapján készült önálló hacker app...

Theo03 2011.09.16. 14:00:05

@Yarner: nagyon szépen köszönöm a választ. azért furcsa, hogy az van a cikkben, hogy jövő hét és még szeptember közepén sincs fent. azért kíváncsi lettem volna, hogy milyen is.
nem tudsz véletlenül hasonló (ingyen) programot androidos telefonra?

Google+