Robar contraseñas con una aplicación de Android es fácil: aprenda cómo protegerse

Lees bien el titular: si tú y yo estuviéramos en la misma red WiFi, probablemente podría iniciar sesión en algunas de tus cuentas confidenciales, y ni siquiera soy un hacker. Esto es gracias a una aplicación para dispositivos Android rooteados llamada dSploit.

Lees bien el titular: si tú y yo estuviéramos en la misma red WiFi, probablemente podría iniciar sesión en algunas de tus cuentas confidenciales, y ni siquiera soy un hacker.  Esto es gracias a una aplicación para dispositivos Android rooteados llamada dSploit.
Anuncio

Lees bien el titular: si tú y yo estuviéramos en la misma red WiFi, probablemente podría iniciar sesión en algunas de tus cuentas confidenciales, y ni siquiera soy un hacker. Esto es gracias a una aplicación para dispositivos Android rooteados llamada dSploit. Verá, la mayoría de los sitios web hoy en día usan HTTPS en lugar de HTTP, y es ese S extra que hace segura la navegación web. Pero si alguno de los sitios web que utiliza no utiliza HTTPS, un pirata informático podría acceder a esas cuentas mediante dSploit.

DSploit puede sonar bastante malicioso entonces, pero sus intenciones son sorprendentemente buenas. Si comprende cómo otras personas podrían piratear su información, puede aprender a protegerse. Por favor, por favor no use ninguna de la información en este artículo para robar información de otras personas. Solo pruébelo en sus propios dispositivos y cuentas. Además, tiene algunas otras características que son muy divertidas solo para jugar.

Entonces, con eso fuera del camino, ¿qué puedes hacer con esta aplicación? Sigue leyendo para averiguarlo.

Robar contraseñas

Todos estamos advertidos al iniciar sesión en WiFi público para que nuestra información pueda ser vista por otros en la red. Siempre he visto eso y pensé que a un hacker realmente avanzado le tomaría realmente hacer eso. Estaba equivocado.

Resulta que es bastante fácil. Las buenas noticias son que la mayoría de los principales sitios web usan HTTPS, lo que mantiene sus cosas a salvo de los piratas informáticos aspirantes que usan dSploit. Facebook, Twitter, Google y la mayoría de los principales sitios web usan HTTPS de forma predeterminada. De hecho, al usar esta aplicación, era muy difícil para mí encontrar cualquier sitio web que no usara HTTPS por el momento. Pero encontré uno: InterPals.

Captura de pantalla (22)

Son sitios web más pequeños como estos a los que las personas con intenciones maliciosas podrían acceder, en caso de que usted esté en la misma red WiFi que ellos. No creo que tengas mucha información sensible sobre InterPals (tal vez sí, no te conozco), pero esto podría abrir la puerta de enlace si tus otras prioridades de seguridad no están en orden.

Screenshot_2013-07-08-13-12-46

Por ejemplo, ¿tiene una contraseña en todas sus cuentas? Eso es peligroso. Si un hacker obtiene una contraseña de bajo nivel, como InterPals, podría acceder al sitio web de su banco, a Facebook o a su cuenta de PayPal. Debe intentar variar sus contraseñas tanto como sea posible en sus diferentes cuentas.

Secuestrar una sesión

Este es el primo ligeramente menos capaz de la función de contraseñas de robo. El secuestro de la sesión permite al usuario interceptar la información enviada a través de WiFi y luego acceder a cualquier página (información de inicio de sesión intacta) en la que estuvo la víctima. De nuevo, esto no funcionará con los sitios web de HTTPS, pero muchos sitios web solo usan HTTPS al enviar información confidencial de inicio de sesión, dejando otras partes de la sesión abiertas para el secuestro, lo que todavía es relativamente peligroso.

Screenshot_2013-07-08-12-57-42

Desde mi teléfono, pude secuestrar la sesión de Amazon.com que se estaba ejecutando en mi computadora. Esto me dio acceso a todo en mi cuenta de Amazon. Aterrador, ¿verdad? Bueno, la buena noticia es que Amazon hace que verifiques tu contraseña antes de eventos importantes como retirar, ver la información de tu tarjeta de crédito, etc. Todo lo que realmente podía hacer era agregar elementos a mi carrito sin siquiera haberlos comprado.

Screenshot_2013-07-08-10-25-12

Mi principal preocupación fue inicialmente con el orden de 1 clic, la elegante manera de Amazon de permitirte comprar artículos con solo presionar un botón. Sin embargo, resulta que el orden de 1 clic realmente debería llamarse ordenamiento de 1 clic, luego, tipo, contraseña, y hacer clic nuevamente. Así que no me preocuparía demasiado que desconocidos secuestraran su cuenta de Amazon. Aún así, el hecho de que puedan ingresar como ustedes sin que lo sepan es misterioso por decir lo menos.

Screenshot_2013-07-08-12-56-14

También logré secuestrar la sesión del sitio web de mi universidad. No es mucho lo que alguien podría hacer con esta información, excepto para ver qué clases estoy tomando y tal vez leer algunos de mis ensayos enviados. Además de ser espeluznante y acosador, esto realmente no me afectaría demasiado.

Screenshot_2013-07-08-12-49-44

Incluso podría secuestrar mi sesión en los foros de XDA Developers. Pero, de nuevo, esto no me afecta a menos que el hacker solo quiera enviar correo no deseado como loco y hacerme prohibir.

Reemplazar todas las imágenes en un sitio web

Ahora, esta es la parte más divertida de esta aplicación. Si no te importa la seguridad en absoluto y solo quieres divertirte un poco, descarga esta aplicación y conéctate a la misma red WiFi que uno de tus amigos. Esta característica es absolutamente graciosa, y si no me crees, aquí está el sitio web de MakeUseOf con todas las imágenes reemplazadas con una foto de mí con una máscara de caballo.

Captura de pantalla (21)

Vamos, dime que no es gracioso. Las máscaras de caballo solo te hacen olvidar todos los problemas del mundo, ¿verdad?

Usabilidad e interfaz de usuario

La aplicación en sí es bastante simple de usar, pero probablemente será mejor si tiene un buen nivel de conocimiento tecnológico. Hay muchas otras características disponibles en esta aplicación que no cubrí, incluidos Trace, Port Scanner, Inspector, Vulnerability Finder, Login Cracker y Packet Forger. Si eres un verdadero maestro de seguridad, esas otras características pueden interesarte, pero para el usuario promedio, déjame mostrarte la sección MITM (Man In The Middle).

Screenshot_2013-07-08-10-18-39

La sección MITM tiene todas las características que tuve antes: Password Sniffer, Session Hijacker y Replace Images. También puede hacer un Simple Sniff que simplemente registrará toda la información que llega.

Redirigir podría ser lo más malicioso aquí si esta aplicación cayera en las manos equivocadas. El hacker podría redirigir a alguien a un sitio web fraudulento que se hace pasar por Facebook o Google y solicita información de inicio de sesión, o la víctima podría obtener uno de esos pop-ups "Descargar Flash Now" a pesar de que ya está seguro de que ya lo hizo flash descargado pero lo hacen de todos modos y, BAM, virus.

Screenshot_2013-07-08-10-21-25

Además, la aplicación se fuerza a modo paisaje, lo que es infinitamente agravante. Se congelaría durante unos 30-40 segundos cada pocos segundos mientras olfateaba las contraseñas o intentaba secuestrar las sesiones, y colgaba mi teléfono dos veces, haciendo que se reiniciara. Esa es solo mi experiencia personal en mi Galaxy S3, por lo que su kilometraje puede variar. Para mí, la aplicación era demasiado inestable para pensar en usarla a diario. Podría usarlo para bromear un poco con mis amigos, probar mi propia seguridad y luego deshacerme de ella.

Protégete a ti mismo

¿Tienes miedo todavía? Perfecto, ahora solo compre mi aplicación anti-dSploit por solo 3 pagos mensuales de - ¡Estoy bromeando, estoy bromeando! La mejor manera de protegerse es tener especial cuidado cuando se encuentre en WiFi público o incluso en WiFi protegido que pueda compartir con personas no confiables, como en un campus universitario grande.

Siempre use HTTPS. Existe una extensión de Firefox y Chrome llamada HTTPS Everywhere que intentará obligar a todos los sitios web que visita a usar HTTPS. No es perfecto, pero puede ser útil, y puede aprender a usar la versión de Firefox en este práctico artículo. Encripte su navegación web con HTTPS en todas partes [Firefox] Encripte su navegación web con HTTPS en todas partes [Firefox] HTTPS Everywhere es una de esas extensiones que solo Firefox hace posible. Desarrollado por Electronic Frontier Foundation, HTTPS Everywhere lo redirige automáticamente a la versión encriptada de los sitios web. Funciona en Google, Wikipedia y ... Leer más. Si tiene el sitio web absolutamente más favorito que parece pensar que HTTPS es demasiado convencional, evite usarlo en WiFi público. Te estoy mirando, InterPallers.

Mientras se encuentre en conexiones WiFi no seguras, tenga cuidado con las páginas redirigidas. Si escribe en Facebook.com y aparece Favebook.com, solicitando su información de acceso o tarjeta de crédito para confirmar su cuenta, ¡no lo haga! También puede usar VPN y túneles que se describen con más detalle en este artículo Cómo combatir los riesgos de seguridad de WiFi cuando se conecta a una red pública Cómo combatir los riesgos de seguridad de WiFi cuando se conecta a una red pública Como mucha gente ahora sabe, conectarse a un público, la red inalámbrica no segura puede tener riesgos serios. Se sabe que hacer esto puede brindar una oportunidad para todo tipo de robo de datos, en particular contraseñas y privadas ... Leer más.

También tenemos 5 complementos de Firefox Manténgase seguro y privado con estos 5 complementos de cifrado [Firefox] Manténgase seguro y privado con estos 5 complementos de cifrado [Firefox] Los cifradores se han utilizado a lo largo de la historia para mantener el secreto y la seguridad de las piezas sensibles de datos. En lugar de dejar información importante al aire libre y al alcance de cualquiera para su lectura, estos sistemas de cifrado mantuvieron el conocimiento ... Leer más que pueden ayudar a protegerlo y 8 extensiones de Chrome Las 8 principales extensiones de seguridad y privacidad del navegador Chrome Las 8 principales Extensiones de seguridad y privacidad para el navegador Chrome Google Chrome Web Store alberga muchas extensiones que pueden proteger su seguridad y privacidad al usar Chrome. Ya sea que desee bloquear JavaScript, complementos, cookies y secuencias de comandos o forzar sitios web para encriptar su tráfico, ... Lea más. Incluso hay un complemento de Firefox llamado Blacksheep que puede ayudar a detectar aplicaciones como dSploit en la red. Recuerde, siempre practique la navegación web segura.

¿Alguna vez le han robado su información a través de una red WiFi pública? ¿Algún otro consejo para mantenerse seguro? Háganos saber en los comentarios!

In this article