Cuando Firesheep salió a la luz durante la Toorcon de San Diego en Octubre del año pasado causó mucho revuelo por poner a disposición de cualquier persona el robo de sesiones (Session Hijacking) en una red de forma automática.


Un tiempo ha pasado desde que Firesheep estaba en furor y ahora llega una nueva aplicación dispuesta a robar su lugar, se trata de FaceNiff, una aplicación para Android que sin la ayuda de un navegador o driver permite robar la sección de diferentes sitios (Facebook, Twitter, YouTube), solo utilizando un teléfono Android “rooteado”.

FaceNiff es un DonationWare, por lo que solo te permitirá obtener 3 sesiones y luego te dará la opción para que dones por Paypal para poder seguir usándolo, teniendo en cuenta que permite robar sesiones en redes WEP, WPA, WPA2, su constante actualización y la promesa de agregar gradualmente soporte para mas sitios a la lista, estoy seguro que muchos donarán con gusto al autor de esta herramienta.

No hemos tenido la oportunidad de probarlo personalmente (no disponemos de un teléfono con Android), pero nuestro amigo Ezequiel Sallis lo ha probado y da fe que funciona, también te dejo un vídeo donde se puede ver corriendo la herramienta:

[youtube]http://www.youtube.com/watch?v=3bgwVM7t_s4[/youtube]

Y los usuarios de iOS?

Estoy seguro que pronto tendremos una aplicación parecida en Cydia, mientras tanto podemos usar Pirni PRO, que automáticamente realiza un ARP Spoofing en la red Wireless donde nos encontremos y captura toda la información que pasa por ella, incluidas las sesiones de usuario que podemos utilizar para suplantarlos en donde se encuentren logueados.
Podemos protegernos?

Para protegernos del robo de sección, sea cual sea la herramienta utilizada para realizarlo, es recomendable seguir las siguientes recomendaciones:
  • Utilizar conexiones SSL en cualquier sitio donde tengamos que loguearnos (recuerden que Facebook y Twitter ya se pueden configurar para usar SSL por defecto), aunque no es un método infalible.
  • Si vamos a navegar por redes publicas, asegurarte de hacerlo por una VPN que te permite crear un túnel entre tu equipo e Internet impidiendo la mayoría de ataques.
Para Mas Información:
Pagina Oficial de FaceNiff
Foro Oficial de FaceNiff
Listado de Dispositivos Soportados

Fuente: http://www.dragonjar.org/faceniff-o-firesheep-para-android.xhtml