miércoles, 28 de julio de 2010

Sniffeando aplicacion Twitter para Android

En la noche de hoy, me puse a correr el wireshark por varias razones.. entre ellas estaba algo paranoico y queria testear algunas apps del Motorola Milestone que poseo con Android.

Bien entre ellas, soy un fiel usuario de Twitter, asique cuento con la apk oficial de Twitter lanzada para Android. Hoy me lleve una sorpresa, al ver que el user/password estaba tan libre por ahi
con un leve ‘toque de seguridad’.

Recordemos que si ingresamos desde el browser a twitter, este realiza la autentificacion mediante https.
Ok, ahora veamos que sucede desde la apk de Twitter @ android.

En este momento me dispongo a loguear con mi user/account desde mi Android mediante la aplicacion de Twitter.



Como vemos, viaja la validacion via HTTP. Como se nota en el paquete #6397.

Ahora si vemos esto con mas claridad, vemos algo asi:



Notamos ese llamativo.. Authorization: Basic dGVzdGluZ3NuaWZmOm15cGFzc3dvcmQ=

Me pregunto si eso……si! ese hash me suena conocido, pero que carajos sera?.. BASE64!.. verificamos con algun decoder favorito y..

Original: dGVzdGluZ3NuaWZmOm15cGFzc3dvcmQ=
De-codificado: testingsniff:mypassword

Por lo que deducimos que el user es testingsniff y el password mypassword.

Interesante no? si bien se sabe que usa el HTTP Auth Basic, juraba que la conexion iba cifrada via SSL, como ya ven, ojo desde donde se conectan con el celular pueden estar sniffeandolos!.

Fuente: confusedMind

No hay comentarios: