Posso vedere le credenziali di accesso su Facebook mentre utilizzo il browser Maxthon

1

Quindi ho notato qualcosa che mi ha davvero infastidito e sono rimasto impazzito su come sia possibile. Ma non volevo venire qui solo come "Ehi, com'è possibile?" quindi volevo fare ricerche proprer e alla fine ho trovato la risposta (quasi-è per questo che sono qui). Anch'io sono qui, perché non sono l'unico, chi si chiede come sia possibile, quindi voglio segnalare questo problema un po '.

Quindi ero a casa del mio amico e volevo solo dimostrargli rapidamente l'attacco MitM tramite l'app Android ZAnti. È un'app davvero potente e volevo mostrargli ciò che un aggressore poteva vedere quando facevo il MItM (ARP). Quindi gli mostravo molte cose interessanti e gli dissi che, se la pagina utilizza HTTPS, non vedo nulla, ma è comunque abbastanza pericoloso. Beh, voleva vedere così ha fatto il login sul suo facebook e la sua password è spuntata sul mio telefono ... Ed è stato in questo momento che lo sapevo, qualcosa non è giusto qui.

E 'assolutamente fuori di testa, ma mi ha fatto impazzire. In questo momento, abbiamo iniziato a formulare teorie su come quegli sviluppatori cinesi di Maxthon hanno hackerato NSA / FBI, rubato le loro chiavi SSL / TLS private di Facebook e ora li stanno usando e rubano silenziosamente gli account Facebook delle persone. Beh, ovviamente non è vero.

Ad ogni modo, la prima cosa che mi è venuta in mente è stato questo sito e come ho bisogno di postare una domanda su questo al più presto. Ma volevo darti dati sufficienti per lavorare, in modo da poter capire collettivamente qualcosa. Così comincerò a postare la "" "ricerca" "" dato che vale la pena di provarlo.

Per prima cosa avevo bisogno di replicare l'attacco. Ho acceso il mio browser Opera e ho provato la stessa cosa. Niente. Assolutamente niente. Non ho nemmeno visto che mi sono collegato a Facebook (perché ZAnti filtra le richieste https in quanto inutili). Così ho provato hrej.cz (è solo una pagina web locale che so essere http e la utilizzo quando voglio assicurarmi che il mio MitM funzioni) ed è stato lì. Quindi sta funzionando.

QuindièstatodavverograzieaMaxthon,quindisonoandatoascaricarloeriprovare.Ehovisto.Eralì.L'apputilizzaSSLstripperimpostazionepredefinita,quindihopensatochepotesseesserlo,maFacebookutilizzaHSTS,quindinonavrebbealcunsenso.MamentrecontrollavolabarradegliURL,lapartedelmiocervellodisicurezzamorìperunsecondo.StavonavigandosuFacebookviaHTTP.

Midispiaceperlamialocalizzazione.Ètuttoinceco,maproveròatradurreilpiùimportante

Labarraverdeindicacheilsitoè"certificato da CEAIA".

Ma Facebook usa HSTS! Bene, come è successo, Facebook lo fa davvero, ma Maxthon non lo supporta. Ed è qui che ho risposto alla mia domanda, ma ne ho sollevata un'altra. Perché Facebook processa ancora le richieste http? Voglio dire, Facebook potrebbe bloccarlo e nemmeno permetterlo. Dov'è il trucco?

A proposito, Maxthon era tra gli altri browser consigliati per Win10 quando il mio amico l'ha installato per la prima volta. Ti fa paura che sia così insicuro.

    
posta ShinobiUltra 17.10.2016 - 21:10
fonte

1 risposta

4

È piuttosto semplice. Come dici tu, e Maxthon non supporta ancora HSTS. Pertanto, per questo motivo, Maxthon sarà suscettibile agli attacchi MITM a meno che tu non usi specificamente il prefisso https:// per www.facebook.com .

The green bar says that the site is "certified by CEAIA".

Trovo fuorviante il fatto che mostrino il sito come certificato quando la connessione non è sicura. Forse capisco male il significato di questo messaggio da Maxthon?

Why facebook still process HTTP requests?

Probabilmente questo non è vero. (eccetto che fornirebbero reindirizzamenti HTTP 301 al sito sicuro oltre a un'intestazione HSTS)

Il caso più probabile è che SSLStrip stia comunicando con Facebook su HTTPS. Solo Maxthon pensa che sia HTTP a causa di SSLStrip.

By the way, Maxthon was among other browsers recommended for Win10 when my friend installed it for the first time. Kinda scary that it's so insecure.

Non è sicuro se qualcuno sta manomettendo la tua connessione e dimentichi di utilizzare il https segnalibro.

    
risposta data 17.10.2016 - 21:26
fonte

Leggi altre domande sui tag