Android-App kapert Facebook-Konten
Neue Gefahr droht Nutzern von Facebook und Twitter: Mit einer einfach zu bedienenden Android-App können selbst Laien über WLAN in fremde Accounts einbrechen.
Ein polnischer Entwickler hat eine Android-App veröffentlicht, mit der selbst Laien auf fremde Facebook- und Twitter-Konten zugreifen können. Die App zeigt dem Angreifer auf seinem Android-Smartphone eine Liste von Accounts anderer Nutzer, die im gleichen WLAN surfen und sich zum Beispiel bei Facebook, Twitter oder YouTube eingeloggt haben. Durch das Antippen eines Accounts bricht der Angreifer ein, ohne das Passwort einzutippen.
Die Anwendung namens FaceNiff läuft dem Entwickler zufolge nur auf gerooteten Android-Smartphones. Erfolgreich getestet hat er sie angeblich auf zehn Modellen diverser Hersteller. Laut "Register" greift sie unverschlüsselte Cookies aus dem WLAN ab. Sie funktioniert dem Bericht zufolge auch in einem verschlüsselten WLAN-Netz, falls der Angreifer dessen Passwort kennt.
Das Problem, dass Angreifer im gleichen Netz Sitzungs-Cookies mitlesen können, ist seit langem bekannt. Simple Tools wie die Firefox-Erweiterung FireSheep und nun FaceNiff erhöhen die Brisanz.
Um sich vor FaceNiff und ähnlichen Werkzeugen zu schützen, sollten Nutzer stets SSL-Verbindungen nutzen. Twitter und Facebook bieten seit einigen Monaten die Option, SSL standardmäßig zu verwenden. Bei Facebook muss man allerdings darauf achten, die Sicherheitsfunktion nicht unwissentlich wieder zu deaktivieren. Für zusätzliche Sicherheit sorgt ein VPN-Tunnel. (cwo)
