แฮกเกอร์แจก FaceNiff สำหรับ Android แล้ว ทุกคนควรใช้ HTTPS กับ Facebook ทันที

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2011 - 02:41 Tags:
Topics: 
Security
Facebook
Node Thumbnail

เมื่อต้นปีที่ผ่านมา Facebook เพิ่งเปิดให้ผู้ใช้เลือกใช้ HTTPS ตลอดเวลาได้จากความเสี่ยงที่เริ่มมีซอฟต์แวร์สำหรับแฮกออมาเป็นการเฉพาะ หากวันนี้ผู้อ่าน Blognone คนไหนยังไม่ได้เลือกตัวเลือกนี้ก็คงได้เวลาแล้วครับ เพราะมีแอพลิเคชั่นสำหรับ Android ชื่อ FaceNiff ออกมาดักจับ session ทำให้ผู้โจมตีสามารถเข้าดูหน้า Facebook ได้เหมือนเจ้าของ

FaceNiff รองรับทั้ง Twitter และ Facebook มันสามารถทำงานบนเครือข่ายที่ไร้สายได้รับการเข้ารหัสได้แม้ยกเว้นเพียงการเข้ารหัสแบบ EAP เท่านั้น และหากซื้อรุ่นปลดล็อก จะมีซอฟต์แวร์สำหรับโอนบัญชีที่ดักจับได้ผ่านทาง Android เข้ามาเปิดในพีซีได้

ในที่มามีให้ดาวน์โหลดมาทดสอบและศึกษาได้ แต่หากพรบ. คอมฯ ฉบับใหม่ของกระทรวงไอซีทีผ่าน แค่ "ครอบครอง" แอพพลิเคชั่นตัวนี้ก็มีโทษอาญา

ที่มา - FaceNiff

Get latest news from Blognone

Comments

By: BlackMiracle
WriterAndroidUbuntuWindows
on 3 June 2011 - 05:31 #296287

ดูวิดีโอในที่มาแล้ว อืมม ง่ายมากๆ

Pitawat's Blog :: บล็อกผมเองครับ

By: jane
AndroidUbuntu
on 3 June 2011 - 06:06 #296289
jane's picture

ขโมย cookies แล้วปล้น

By: Poet_guy on 3 June 2011 - 06:08 #296290
Poet_guy's picture

Https ก็โดนได้อยู่ดีถ้าไม่ดูให้ดี :P

By: orpheous
AndroidWindowsIn Love
on 3 June 2011 - 09:46 #296320
orpheous's picture

แบบเดียวกับ firesheep?

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 10:14 #296338 Reply to:296320
PaPaSEK's picture

ถูกครับ ความเห็นผมคิดว่าพัฒนาต่ยอดจากแกะไฟเลยครับ

By: joomla
iPhoneUbuntu
on 3 June 2011 - 11:12 #296363
joomla's picture

แฮคเกอร์เริ่มแสดงความเลวร้ายมากขึ้นทุกที

By: puri on 3 June 2011 - 11:27 #296373

ไม่เกี่ยวข้องกับข่าวครับ แต่เกี่ยวกับ พรบ คอมฯ นิดหน่อย

บังเอิญเมื่อหลายอาทิตย์ที่ผ่านมาผมกะจะลองซื้อชุดเครื่องมือ lock picking (ไม่รู้ว่าภาษาไทยเรียกว่าอะไร "สะเดาะกุญแจ"?) เอาไว้เผื่อเปิดประตูตู้ต่าง ๆ ในบ้านเวลาหากุญแจไม่เจอ
แล้วเพิ่งรู้ว่าการครอบครองเครื่องมือประเภทเหล่านี้มันผิดกฎหมายในหลาย ๆ รัฐที่สหรัฐอเมริกา

ไม่แน่ใจเรื่องกฏหมายครับ แต่เป็นไปได้ไหมว่าประเทศอื่น ๆ มีกฏหมายห้ามครอบครองเครื่องมือที่อาจจะเอาไปใช้ก่ออาชญากรรมทางอิเล็กทรอนิกส์ได้เหมือนกัน แบบว่าเราไม่ได้นั่งเทียนคิดขึ้นมาเอง

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 11:29 #296374 Reply to:296373
PaPaSEK's picture

อ้างอิงจากข่าวในย่อหน้าสุดท้าย

"ในที่มามีให้ดาวน์โหลดมาทดสอบและศึกษาได้ แต่หากพรบ. คอมฯ ฉบับใหม่ของกระทรวงไอซีทีผ่าน แค่ "ครอบครอง" แอพพลิเคชั่นตัวนี้ก็มีโทษอาญา"

By: puri on 3 June 2011 - 11:33 #296378 Reply to:296374

งงครับ ก็รู้แล้วว่าของไทยอะผิด แต่เป็นประเทศเดียวในโลกเลยหรือ

ผมรู้แค่อีกที่ว่า ที่อเมริกาไม่ผิด (แต่การครองครองเครื่องมืออาชญากรรมหลาย ๆ อย่าง เช่น lock picking ผิด)

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 12:09 #296392 Reply to:296378
PaPaSEK's picture

ผมนึกว่าอ่านผ่านตรงนั้นมาน่ะครับ ขออภัยด้วย

ผมแนะนำนิดนึง บางทีคำถามน่าจะชัดเจนกว่านี้นิดนึง เพราะเวลาที่มีคนมาตอบจะได้ไม่ต้องเดา เจตนาของคำถามมาก การตอบคำถามจะได้ตรงกับเรื่องที่คุณสนใจมากขึ้นน่ะครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2011 - 11:37 #296379 Reply to:296373
lew's picture

เป็นไปได้ครับ แต่ต้องถามว่าเรากำลังเลียนแบบใคร และเพื่ออะไร ในเกาหลีเหนือ ดู Girl Generation นี่ถูกส่งเข้าค่ายแรงงานได้นะครับ เราควรเลียนแบบแล้วอ้างได้ว่าเราไม่ได้เขียนขึ้นมาเองเป็นชาติแรก????

ประเด็นสำคัญกว่าคือกฏหมายประเภทนี้ควรได้รับความเห็นในวงกว้างมากๆ ว่าเราจะเลือกแนวทางนี้จริง เราพร้อมจะทำให้การศึกษาอันตรายเหล่านี้เป็นเรื่องผิดกฏหมาย แล้วหวังว่าประเทศเราจะปลอดภัยขึ้นจริงๆ หรือ???

อีกประเด็นหนึ่งคือมันสมเหตุสมผลแค่ไหนในโลกอิเล็กทรอนิกส์ ที่เราจะทำให้การครอบครองเป็นเรื่องผิดกฏหมาย ซอฟต์แวร์แนวเดียวกันมีอยู่ใน Linux Repository เต็มไปหมด ตามมหาวิทยาลัยจำนวนมากทำ mirror เอาไว้ เรากำลังจะบอกว่าถ้าอยากทำ mirror ต้องมาคัดกรองซอฟต์แวร์พวกนี้ด้วยมือที่ละตัวว่าตัวไหนจะผิดกฏหมายไทย??? กรณีครอบครองนี้ต่างจากอาวุธหรืออุปกรณ์อื่นๆ แน่นอน เราไม่สามารถเดินๆ ผ่านร้านปืนแล้วมีปืนโผลเข้ามาในกระเป๋าเราโดยไม่ตั้งใจ

กรณี lock picking ผมไม่แน่ใจว่าคุณหมายถึงรัฐไหน และรัฐนั้นมีนิยามไว้อย่างไร คลิปหนีบกระดาษก็ทำ lock picking ได้

lewcpe.com, @wasonliw

By: sunback
Contributor
on 3 June 2011 - 11:44 #296383 Reply to:296379
sunback's picture

โชคดีที่ขุนแผนไม่ได้เกิดในยุคนี้ มิฉะนั้นคาถาสะเดาะกุญแจของเขาอาจทำให้เขาติดคุกเพราะถือว่าครอบครองระบบที่เข้าข่าย Lock Picking

By: puri on 3 June 2011 - 11:48 #296385 Reply to:296379

ผมแค่สงสัยว่ามันมีที่อื่นอีกไหม ไม่ได้แปลว่ามันถูกผิดดีชั่วแต่อย่างใด ถ้าที่อื่นมี แล้วเป็นประเทศที่น่าเชื่อถือทางกฏหมายสากล เราได้จะได้ศึกษาได้ว่าเพราะเหตุใดเค้าถึงมีกฏหมายเช่นนั้น

ส่วน lock picking นั้น นิยามในทางกฏหมายส่วนใหญ่ก็สั้น ๆ กว้าง ๆ คลุมไปหมดแหละครับ เดี๋ยวศาลไปตีความอีกที
ข้างล่างนี่เป็นของ Utah

76-6-205. Manufacture or possession of instrument for burglary or theft.
Any person who manufactures or possesses any instrument, tool, device, article, or other thing adapted, designed, or commonly used in advancing or facilitating the commission of any offense under circumstances manifesting an intent to use or knowledge that some person intends to use the same in the commission of a burglary or theft is guilty of a class B misdemeanor.

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2011 - 12:00 #296390 Reply to:296385
lew's picture

ผมอ่านแล้วกฏหมายนี้ไม่ได้ห้ามครอบครองนะครับ แต่ห้ามครอบครอง "โดยแสดงว่ามีเจตนาจะใช้ทำอาชญากรรม" (... under circumstances manifesting an intent to use ....)

lewcpe.com, @wasonliw

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 12:10 #296395 Reply to:296390
PaPaSEK's picture

ซึ่งถึงเวลาก็ต้องมาพิสูจน์กันต่อ ว่าครอบครองไว้ใช้เพื่อศึกษา หรือใช้ภายในบ้านจริงหรือไม่

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2011 - 12:22 #296398 Reply to:296395
lew's picture

คือกฏหมายแบบนี้มันล็อกสองชั้นครับ ตัวอุปกรณ์ต้องทำมาเฉพาะ และต้องครอบครองเพื่อมุ่งหมายจะใช้ก่ออาชญากรรม

แรงกว่าการอนุญาตครอบครองปรกติแน่นอน แต่มันไม่ใช่กฏหมายห้ามครอบครอง

lewcpe.com, @wasonliw

By: puri on 3 June 2011 - 12:26 #296400 Reply to:296390

อืมม งั้นน่าจะเป็นอย่างงั้นมั้งครับ ผม copy มาจากเว็บที่เค้าคุยกันเรื่องพวกนี้อีกที

แต่ผมลองไปหาเพิ่มเติมใน wikipedia แล้ว พบว่ามันก็ยังผิดในหลาย ๆ ประเทศนะครับ เช่น Poland (ไม่มีอ้างอิง), United Kingdom (แค่เอาชุด lock pick ไปบ้านคนอื่นก็ผิด), หรือ หลาย ๆ ที่ใน Australia (ต้องมี license)

ทำให้สงสัยต่อว่าถ้าแก้กฏหมายอิเล็กทรอนิกส์ของไทย ให้แบบมี license ครองครองเครื่องมือ hacking ต่าง ๆ ได้จะเป็นไปได้หรือไม่ (คงวุ่นวายและสิ้นเปลืองน่าดู) หรือเติมวลีประมาณว่า "ผิดเมื่อมีเจตนา..." จะเพียงพอหรือไม่

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2011 - 23:46 #296568 Reply to:296400
lew's picture

อันนั้นเป็นมาตรการควบคุม ก็ต้องหาจุดลงตัวที่สมเหตุผลกันต่อไปครับ

แต่ผมไม่สนับสนุนการห้ามครอบครองแบบลอยๆ ดังร่างที่เสนอมาแน่นอน ร่างนั้นเตรียมจะนำเข้าสู่ประชุมคณะรัฐมนตรี ซึ่งถ้าเข้าไปทั้่งอย่างนั้นจริงผมมองว่ามันเลวร้ายมาก

lewcpe.com, @wasonliw

By: susethailand
ContributorAndroidSUSE
on 3 June 2011 - 13:02 #296413
susethailand's picture

update: ทดสอบแล้วได้ผล Network ล่มทันตาเห็นเมือเราสตาร์ท FaceNiff

WiFi ที่ Android ไอพี 192.168.1.99
Gateway ไอพี 192.168.1.2

เมื่อสตาร์ท FaceNiff
มันจะ Get ไอพีจากเครื่อง DHCP Server อีกครั้งโดยใช้ Mac address ของ WiFi ซึ่งจะได้ไอพีเป็น 192.168.1.2 นั้นหมายความว่าไอพีไปชนกันเครื่อง Gateway ครับ ที่นี่ล่ะงานเข้าครับ

By: wichate
Android
on 3 June 2011 - 16:39 #296483 Reply to:296413

fix IP ใน android ไว้ก่อนได้ไหมครับท่าน

By: jane
AndroidUbuntu
on 3 June 2011 - 19:22 #296524 Reply to:296413
jane's picture

เครื่องอื่นๆ จะส่ง packet มาหาเราได้ไง

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 4 June 2011 - 01:03 #296583 Reply to:296413
Jonathan_Job's picture

โห.... FaceNiff มันใช้ ARP Poisoning ด้วยเหรอเนี่ย ไม่ใช่แค่ Session Hijacking แล้วสินะ

มิน่าถึงได้หมดกับ WEP/WPA1/2-PSK แต่ไม่ได้กับ EAP

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 3 June 2011 - 15:29 #296451

ประเด้น lock pick ก็คงคล้ายๆ กับมีดปอผลไม้แต่ฆ่าคนตายได้ เถียงกันไม่รู้จบ สุดท้ายก็ต้องไปพิสูจน์กันในศาลบอ่ะครับ

55+

แต่ แฮกเกรอืนี่ร้ายจริงๆ