Последнее обновление: 25 Апрель 2016 в 13:28
Подпишись на RSS
rss Подпишитесь на RSS, чтобы всегда быть в курсе событий.

Language

Ads

Контакты

Рекомендуем

Комментарии

Присоединяйтесь к обсуждению
  • вова: проблема перезагрузил телефон и сбилось время в настройках нету изменить время куда эти настройки пропали не...
  • Женя: как восстановить системные файлы? ну типо папку system а то я файл vold. из папки /system/etc заменил другим,...
  • Кирилл: Здравствуйте у меня такая проблема когда я захожу в игру у меня высвечивается табличка с надписью (доступна...
  • Сергей: ДД!Такая проблема,телефон HTC desire820 при повторном включении переходит а меню загрузки,как быть
  • Андрей: Телефон автоматически нажимает сам на себя! В чем проблема?
10 Май 2012

Как украсть пароли при помощи Android телефона?

Как украсть пароли при помощи Android телефона?

Интересный вопрос. Не так ли? Есть интересующиеся пользователи, которые хотят реализовать свои таланты и желания даже в таких вопросах. И сразу предупреждаю, что статья создается исключительно в демонстрационных целях, дабы показать уязвимости Android системы и наивность некоторых пользователей, которые стремятся подключиться к халявному Wi-Fi и при этом не подвергнуться какой-либо атаке. В общем, читайте и учитесь. Это будет очередной  урок системной безопасности для Android-пользователей. В нем Вы поймете насколько просто реализовать приложение-снифер паролей с любого Android-телефона.

Первое, что нам понадобится – найти подходящий вебсервер. Кстати, найти качественный и надежный, доступный с Android достаточно тяжело. При поиске подходящего вебсервера в Google Play маркете было найдено совсем немного тех, что поддерживают скрипты cgi и 80 порт одновременно, так как именно этот порт позволяет поднять домены типа ***.com. Вообще мало что расписано о поддержке данных доменов и лишь каким-то образом встретился вскользь вебсервер lighttpd в chroot. То есть вполне реально на Android проделать подобное. При желании Вы сами можете убедиться, если поискать гуглом lighttpd для arm процессоров Android устройств. Ссылку выдавать не буду, чтобы не было укоров в том, что мы обучаем подобным вещам. Если Вы найдете именно то, о чем я подсказал, то приложение попадет к Вам в немного урезанном варианте, хотя вполне рабочим. Установить его очень просто – скопируйте архив на карту памяти и введите в терминал системы следующие команды:

su

cd /

tar xf /sdcard/%filename%.tar.gz

На том же сайте есть рекомендации по использованию утилиты ввода команд с компьютера, хотя намного проще переименовать вышеупомянутый файл с «php-5.3.8_lighttpd_1.4.29_armv5.tar.gz» в «1.tar.gz» и уже после этого ввести строки кода на телефоне.

После этого нужно перейти в папку /system/xbin. Нам нужно найти файлы reload-lighttpd.sh и reload-fcgi.sh. Именно их нужно запустить для создания сервера, точнее для операции перезагрузки. Обычный файловый менеджер подойдет для выполнений команд и запуска сервера. Вполне подойдет для этого Root Explorer.

И после этого нужно проверить результат. Откройте браузер и зайдите на страницу «localhost» и, если проверить phpinfo, можно увидеть, верно ли установлено. Все файлы сайта скопируйте в папку /system/var/www, где как раз находится файл, который мы проверяли через браузер на localhost.

Теперь не менее основной момент. Нужно взять любую страницу (к примеру, google), написать под него скрипт, который будет записывать пароль и логин в отдельный файл и сохранять в базу данных, что сделать вполне возможно, но сложно.  Создаваемая страница должна лежать в /system/var/www, как уже я выше упомянул, а файл с логином/паролем быть с правом записи. Признаю, это не самый лучший вариант для сбора паролей и имеет кучу уязвимостей, так как есть открытый доступ к файлам. Но мы пытаемся увидеть уязвимости при использовании бесплатных ресурсов, а не атак на пользователей. Как видно со скриншота страница localhost приобрела новый вид:

Как украсть пароли при помощи Android телефона?

Теперь перейдем в хосты (host) в папке /system/etc, использовать приложение hosts editor или простой текстовый редактор. Нужно добавить ip точки доступа и домены, чтобы получилось следующее: 192.168.43.1 google.com.

Что ж, теперь следует проверить результаты. Запустите на Android телефоне режим точки доступа и подключиться к ней, затем зайдите на страницу google.com и увидите созданную собственными руками страницу. Нужно выбрать пункт «Войти», после чего появится типичная картинка сайта, у которого даже домен не вызывает подозрений:

Как украсть пароли при помощи Android телефона?

Выполните вход в учетную запись, то есть введите свой логин с паролем. И все! Теперь проверяем файл в базе данных и читаем то, что там есть – при правильных установках будет введенный логин и пароль.

Как украсть пароли при помощи Android телефона?

Теперь можно продолжить настройки нашего сборщика логинов/паролей. Найдите файл конфигурации в папке /system/etc/lighttpd, куда можно добавить еще несколько виртуальных сервером и уже собирать данные одновременно с нескольких доменов, а также создавать поддомены.

Вот такой пример для создания своего псевдо-сайта и собирать конфиденциальные данные других людей. При желании можно создать ресурс с другим более правдоподобным адресом, убрать небольшие недостатки, создать даже форму для регистрации, от имени других ресурсов дать доступ пользователям к фальшивым приложениям. Как видите, есть множество вариантов для обмана и очень сложно обнаружить фальшивый сайт. В статье именно это и показано, что любой может создать свой снифер. Учитесь распознавать обман и не ставьте своей целью воровство чужих аккаунтов, ведь это наказуемо.

Вышеописанный способ обычно встречается в многолюдных местах, где есть кандидатуры с телефонами, которые ищут открытые точки доступа с простыми названиями, рискуя потерять личную информацию. На личном опыте не раз удавалось найти подобные ресурсы, что подтверждает распространенность этого мошенничества. Единственный способ избежать попадания в ловкие руки – следить за использованием открытых точек доступа в сеть и использовать пеленгование.

Голосуй!

Нравится


Поделитесь с друзьями!
Опубликовать в twitter.com Опубликовать в своем блоге livejournal.com
Похожие статьи:
Как включить компьютер при помощи Android телефона?
Как взломать Wi-Fi сеть при помощи Android телефона
Храните свои пароли в … mSecure



К записи "Как украсть пароли при помощи Android телефона?" оставлено 3 коммент.

Даже не думал, что это делается так легко :( теперь защитить свои данные будет еще сложнее, но извещен, значит вооружен :)

все так легко и просто!только вот для чего это все нужно?и ведь среди таких “хакеров” есть совсем юные,которые даже и не понимают,что это наказуемо!

Ага, наказуемо. Конечно, если я у соседа с общаги стырю пароль от контакта, то за мной точно пативэн приедет. Я же не собираюсь тырить пароли на ел-кошельки. Так, чисто поржать


Оставить комментарий

Пожалуйста, зарегистрируйтесь для комментирования.

Свежие новости и горячие обзоры игр и приложений на Андроид и IOS

New

банер-проверишь

Счетчик

Статистика сайта
Закрыть
ОСТОРОЖНО, ЗАТЯГИВАЕТ!!!!!!