Droidsheep – das schwarze Schaf unter den Apps

Droidsheep AppEben in SternTV: eine App hackt sich in den Facebook-Account des Moderators ein und übernimmt den Account. Das ist nicht nur eine eindrucksvolle Vorführung, sondern offenbar Standard, wenn man diese kostenlose App auf seinem Android installiert hat. Nach der Ausstrahlung hatte ich einen wahren Besucheransturm in meinem alten Artikel über eine Facebook-App, daher liefere ich den Suchenden hiermit mal eine kleine Hilfe, nach der sie auch gesucht haben.

Die App um die es geht nennt sich Droidsheep. Sie ist kostenlos zu haben und wurde laut Entwickler nur zur Überprüfung der eigenen Accounts, sozusagen als Sicherheit entwickelt. Aber, dass sich das einige “böse Buben” zu Nutze machen und die harmlos aussehende Schäfchen-App missbrauchen, kann man sich doch an 5 Fingern abzählen. Der Entwickler macht es sich hier auch ein bisschen einfach, finde ich…

Bitte beachten:
DroidSheep wurde zum Testen der Sicherheit von Web-Accounts entwickelt und basiert auf meiner Bachelorarbeit mit dem Titel “Session Hijacking on Android Devices”. Diese Software wurde weder zur Verwendung in öffentlichen Netzwerken entwickelt, noch zum Übernehmen der Accounts fremder Personen. Das Programm soll die schwache Sicherheit von unverschlüsselten Netzwerkverbindungen demonstrieren und dient ausdrücklich nicht zur Durchführung von Angriffen auf fremde Personen oder deren Daten.

Fakten

Mit dieser App kann man sich in öffentlich zugänglichen WLAN Netzen, sogenannten Hotspots einwählen und zum Beispiel wild in die Facebook-, eMail-, oder Onlineshop-Accounts der WLAN-Nutzer spazieren und diese übernehmen. Surft die Dame am Nachbartisch gerade  bei Facebook, kann jeder, der diese App hat, auch ohne spezielle Kenntnisse, den Account gleichzeitig nutzen. Euer Passwort kann die App dabei aber nicht auslesen, da dieses in der Regel verschlüsselt gesendet wird, aber der “Hacker” kann, wenn ich das richtig verstanden habe, auf die gleiche Sassion-ID “aufspringen”.

Bei Facebook ist ihm damit Tür und Tor geöffnet und er hat Zugriff auf alle Daten, Private Nachrichten, Pinnwand, Freunde usw. Er kann lesen und schreiben. Bei Amazon kann er sich auch einschleichen und den Warenkorb nach Belieben füllen oder leeren. Allerdingss kann er bei Amazon nicht bestellen oder die Kontodaten ändern, da Amazon hier eine Sperre drin hat, das erneute Einloggen bei wichtigen Aktionen. Auch eMail-Accounts können durch die Andriod-App ausspioniert werden.

Wie  kann ich mich dagegen schützen?

Bei Facebook kann man die Sicherheitseinstellungen verschärfen. Dazu geht oben rechts auf “Kontoeinstellungen”.

Facebook EinstellungenDann in der linken Leiste auf “Sicherheit”

Facebook KontoeinstellungenUnd dort dann ein Häkchen rein bei “sichers Durchstöbern” und wer mag kann sich noch benachrichtigen lassen, wenn jemand von einem “fremden Gerät” auf den Account zugreift.

Facebook KontoeinstellungenBei letzterem muss ich euch vorwarnen: Solltet ihr mal einen neuen Computer kaufen, könntet ihr Probleme beim Einloggen bekommen. Ist mir damals so passiert und mein Konto wurde gesperrt.

Um sich beim Surfen in Onlineshops oder eMail-Accounts zu schützen gilt stets ausloggen, wenn man fertig ist. Den Browser schließen genügt leider nicht, es sei denn man lässt beim Schließen auch gleich die Cookies löschen. Aber gewöhnt euch besser an euch auszuloggen.

SternTV hat auch ein kleines Programm bereitgestellt mit dem sich Windows-Nutzer in sochen Hotspots schützen können. Das Programm legt sich im geöffneten Zustand in die Taskleiste und warnt, wenn jemand mit der Spionage-App unterwegs ist. Dann ist schnelles Ausloggen Pflicht. Das Programm könnt ihr euch hier kostenlos runterladen.

Also, immer aufpassen, wenn man sich mit mehreren Leuten ein WLAN-Netz teilt. Und euer WLAN zu Hause, habt ihr hoffentlich verschlüsselt!?

Auch diese Beiträge schon gelesen?
  1. Hinweis: Google Friend Connect (GFC) wird eingestellt
  2. Help Helmut! – Facebook Aktion für Oreo-Keks Fans
  3. facebook Spionage – Android App liest SMS mit
  4. Noch ein Virus – der facebook Foto Virus
  5. Blogparade zum Thema Facebook
  6. Der Chaos-Blog jetzt mit Facebook Fanpage
↑↑ wieder nach oben ↑↑
Hat der Artikel gefallen? Dann abonniere doch meinen Feed Chaos-Blog RSS Feed abonnieren

Über Chaosweib

Jutta - Nachtmensch, Bücherwurm, Spielkind, Kaffeejunkie, Teeliebhaberin - chaotisch, frech, neugierig, ungeduldig, morgenmuffelig, experimentierfreudig - bloggt über alles, was ihr unter die Finger kommt und freut sich genau jetzt über deinen Kommentar :)
Gepostet unter: gesurft
Tags: , , , , , , , , ,
Setze ein Lesezeichen auf den Permalink.

10 Antworten auf Droidsheep – das schwarze Schaf unter den Apps

  1. Pingback: facebook Spionage – Android App liest SMS mit | Chaosweibs Chaos-Blog

  2. Kai sagt:

    Naja, das ist wie mit Medizin: Auf die Art der Anwendung kommt es an. :)
    Sicherlich ist DroidSheep kein besonders astreines Programm – und besonders ein Privatmensch wird in reichlich Erklärungsnöte kommen, zu erklären, was er damit eigentlich will. SysAdmins und ähnliche Positionen dürften vielleicht noch am ehesten ‘legale’ Anwendungsmethoden finden.

    Was ich meine ist: Auf meinem Rechner auf der Arbeit ist auch ein Trojaner zu finden. Und den braucht meine IT auch, um jederzeit Updates und Direktzugriff auf meinen PC zu bekommen. Völlig legal. Und unter dem “Raising Awareness” Punkt betrachtet ist das Prinzip von Droidsheep nicht mal verwerflich – immerhin ist es das Endprodukt einer Bachelor-Arbeit zu genau diesem Thema.

    Die Eingangsaussage anders formuliert: Auch Morphium ist eine teuflische Droge. Aber frag mal in einem Krankenhaus nach, ob sie deswegen gleich auf ihre Morphin-Vorräte verzichten würden. ;)

    Und für diejenigen, die des öfteren ungeschützt in WLAN-Hotspots unterwegs sind, gibt es ja noch die DroidSheep Guard – wobei dahingestellt sei, wie effektiv die ist und ob die nicht insgeheim noch schlimmere Sachen macht. ;)

    • Chaosweib sagt:

      Klar kann man alles missbrauchen, wenn man will, auch einen Kühlschrank. Aber das hier ist eine App, die es einfach jedem erlaubt da rumzuschnüffeln und Blödsinn anzustellen. Das hier kann ja jeder bedienen. Und jetzt nach der Sendung sind natürlich alle neugierig und wollen nicht wissen wie sie schützen können, sondern woher man die App bekommt. Ich sehe es ja an den Suchbegriffen. ;)

  3. gismolinchen sagt:

    Kann es sein, daß Du schon einmal darauf hingewiesen hast? Du weißt ja, technisch versiert bin ich nun einmal überhaupt nicht, hatte aber tatsächlich den Haken drinne und denke mal, Du hast da schon einmal auf FB darauf hingewiesen…. Ich hatte den Beitrag auch gesehen, aber Deine Reaktion darauf ist schon echt super schnell ;-) Danke Dir

  4. Tante Trulla sagt:

    Den Beitrag habe ich gestern auch gesehen.

    Wir waren gerade erst in einem Hotel und haben dort,natürlich ohne Bedenken das Wlan genutzt…

    Nun, werden wir wohl vorsichtiger sein!

    Liebe Grüße
    Tante Trulla

  5. Kai sagt:

    The Twist is this:
    Es gab schon vorher Programme die das konnten. SternTV hat also im Grunde nichts anderes getan, als Sicherheiten für Quote zu opfern. DAVON mag jeder halten, was er will. ;)

    • Marcus sagt:

      Das ist ja auch die einzige Aufgabe die die sternTV-Redaktion hat: Berichte zu produzieren, die nur auf Quote aus sind.

      Sachliche, ausgewogene Arbeit darf man von denen nicht (mehr) erwarten. Aber dafür steht ja auch deren Sender RTL: Trash-TV

  6. Kai sagt:

    Damnit.. ich bin heut wieder geschwätzig.. aber, weils mir so am Rande aufgefallen ist: Was bitte, ist denn ein Andriod? *zwinkert und deutet verstohlen auf die tags* ^^

Teile anderen Lesern mit, was du denkst

Verzichte auf Werbe- und Signaturlinks, unflätige Sprache und Beleidigungen. Ich behalte mir vor Kommentare mit Links, die nicht zu Blogs führen und/oder Keywords als Namen verwenden zu editieren oder zu löschen! ↑↑ wieder nach oben ↑↑

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>