Faceniff

Die Gefahren beim Besuch unverschlüsselter Seiten in öffentlichen Netzen macht die Mobilanwendung Faceniff anschaulich. Sie startet eine klassische Man-in-the-Middle-Attacke, indem sie sich als Router ausgibt und den ganzen Traffic auf das Gerät umleitet. Dort schneidet die Software unverschlüsselte Logins zu diversen Webseiten wie beispielsweise Facebook, Amazon, Twitter oder Blogger.com mit und stellt die Treffer in einer Liste dar.

Für einen Angriff genügt es, auf den entsprechenden Eintrag zu klicken, um direkt auf das jeweilige Konto zuzugreifen. Bei mehreren mit dem Netz verbundenen Geräten führt der starke Traffic aufgrund der begrenzten Systemressourcen von Smartphones häufig zu langen Latenzen. Entsprechend kann der Admin dieses Verhalten als Indiz für einen Man-in-the-Middle-Angriff via Mobilgerät in seinem WLAN interpretieren.

Diese App erfordert zum Ausführen Rootrechte, was eine entsprechend vorbereitete Android-Plattform voraussetzt. Die Software steht derzeit lediglich auf der Webseite des Entwicklers [5] zum Download bereit. Die kostenlose Version beschränkt sich auf die Anzeige von drei erkannten Nutzerprofilen.

Faceniff arbeitet in allen WLAN-Netzen, und zwar unabhängig davon, ob verschlüsselt oder nicht. Die einzige Netzwerk-seitige Prävention besteht darin, in den WLAN-Settings des Routers EAP (Extensible Authentication Protocol) zu aktivieren, sofern dieser es zulässt.

Shark for Root

Wer auch mit seinem Smartphone auf gewohnten Pfaden wandeln will, für den gibt es den Paketsniffer Shark ([6], Abbildung 2), der im Backend das allseits bekannte Programm Tcpdump zum Aufzeichnen von Paketen verwendet. Auch diese App erfordert Rootrechte auf dem Android-Gerät. Um die Logdateien zu verarbeiten, benötigt die Software darüber hinaus das Vielzweck-Binary Busybox, das ebenfalls im Android-Market [7] zum kostenlosen Download bereitsteht.

Abbildung 2: Der Netzwerksniffer Shark arbeitet auf Basis von Tcpdump und erwartet auch dessen Eingabeoptionen.

Nach dem Start zeigt das Programm ein Eingabefeld neben »Parameter« . Hier trägt der Admin die von Tcpdump bekannten Optionen ein und startet den Sniffer via »Start« . Im unteren Teil des Displays informiert die App dann, wie viele Pakete sie bereits verarbeitet hat.

Der Dump landet in der Datei »/sdcard/shark_dump_Timestamp« . Der Button »Open capture file« öffnet ihn im Shark Reader [8], sofern er auf dem System installiert ist. Allerdings zeigt der Betrachter nur rudimentäre Informationen an. Erst der Import in Tools wie Wireshark offenbart den kompletten Informationsgehalt des Dump.

Ähnlich wie Faceniff eignet sich auch diese App für Man-in-the-Middle-Angriffe. Startet der Admin nämlich zunächst via Tether einen WLAN-Hotspot auf dem Mobilgerät und danach Shark, schneidet die Software den kompletten Datenverkehr aller Nutzer mit, die den Hotspot zum Surfen nutzen. (mhu)