Cuando Firesheep salió a la luz durante la Toorcon de San Diego en Octubre del año pasado causó mucho revuelo por poner a disposición de cualquier persona el robo de sesiones (Session Hijacking) en una red de forma automática.

Un tiempo ha pasado desde que Firesheep estaba en furor y ahora llega una nueva aplicación dispuesta a robar su lugar, se trata de FaceNiff, una aplicación para Android que sin la ayuda de un navegador o driver permite robar la sesión de diferentes sitios (Facebook, Twitter, YouTube), solo utilizando un teléfono Android “rooteado”.

FaceNiff es un DonationWare, por lo que solo te permitirá obtener 3 sesiones y luego te dará la opción para que dones por Paypal para poder seguir usándolo, teniendo en cuenta que permite robar sesiones en redes WEP, WPA, WPA2, su constante actualización y la promesa de agregar gradualmente soporte para mas sitios a la lista, estoy seguro que muchos donarán con gusto al autor de esta herramienta.

No hemos tenido la oportunidad de probarlo personalmente (no disponemos de un teléfono con Android), pero nuestro amigo Ezequiel Sallis lo ha probado y da fe que funciona, también te dejo un vídeo donde se puede ver corriendo la herramienta:

Y los usuarios de iOS?

Estoy seguro que pronto tendremos una aplicación parecida en Cydia, mientras tanto podemos usar Pirni PRO, que automáticamente realiza un ARP Spoofing en la red Wireless donde nos encontremos y captura toda la información que pasa por ella, incluidas las sesiones de usuario que podemos utilizar para suplantarlos en donde se encuentren logueados.

Podemos protegernos?

Para protegernos del robo de sesión, sea cual sea la herramienta utilizada para realizarlo, es recomendable seguir las siguientes recomendaciones:

Para Mas Información:
Pagina Oficial de FaceNiff
Foro Oficial de FaceNiff
Listado de Dispositivos Soportados

Congreso Hacker Colombia