Grazie a dSploit l’hacker ha a disposizione tutto il necessario per trasformare il proprio dispositivo mobile in un perfetto strumento di analisi e attacco!
Prima di installare dSploit, accede al Play Store e ricerca l’applicazione BusyBox. Tappa Installa, poi Accetto e attende la fine dell’operazione. Al termine avvia BusyBox tappando Concedi per fornire i permessi di root. Quindi tocca Install e poi Normal Install.
Scaricate dSploit apk e avviate subito l’installazione utilizzando un gestore di file. Anche dSploit ha bisogno dei permessi di amministrazione. Ricerca quindi l’applicazione dal Menu principale di Android e la avvia. Non appena appare la finestra Richiesta Superuser, tocca il pulsante Concedi. dSploit è finalmente pronta per essere utilizzata.
Seleziona la rete da “hackerare” e dopo qualche secondo visualizza le password associate. Non gli rimane quindi che provarle tutte nella speranza di trovare quella giusta. Volendo procedere in manuale, tappa Manual Mode, seleziona il produttore del router e tappa Calcola.
Dopo aver installato dSploit bastano un attacco di tipo hijacking, il preferito dai pirati per “spiare” le nostre attività.
Innanzitutto il pirata si connette all’hotspot Wi-Fi di cui ha scoperto la chiave e avvia dSploit: l’app si mette alla ricerca di tutti i PC connessi alla rete locale. Seleziona uno fra quelli presenti in elenco. Se vuole agire sull’intera WLAN, seleziona la prima voce, 192.168.1.0/24.
Si ritrova così in una nuova schermata in cui indicare quale tipologia di operazione effettuare. Può ad esempio scansionare l’host alla ricerca di eventuali porte aperte, servizi attivi o attuare un attacco “man in thè middle” per intromettersi nelle comunicazioni di rete.
Seleziona Inspector. Grazie a questo modulo potrà scoprire quali servizi sono attivi sull’host selezionato per analizzarne in seguito eventuali vulnerabilità. Per iniziare la scansione tappa sul pulsante Start. L’operazione può durare anche diversi minuti.
Quando la scansione sarà conclusa, preme il pulsante Indietro e si sposta sulla voce Vulnerability Finder. Sfruttando i dati raccolti nel passo precedente, può così analizzare le eventuali vulnerabilità trovate. Avvia quindi il processo con un tocco su Search.
E’ arrivato il momento di testare seriamente la sicurezza della rete. Dai moduli di dSploit il pirata seleziona MITM (Man In The Middle): può eseguire uno sniffing di dati o cercare di loggarsi ai servizi Web attivi sull’host. In quest’ultimo caso, seleziona Session Hijacker.
Tappa poi su Start e attende che dSploit trovi una sessione attiva su qualche servizio Web (come ad esempio la Webmail del portale Libero). Tappando sul risultato di ricerca, si apre una nuova finestra del browser nella quale si ritroverà loggato con i dati della vittima!
Dall’interfaccia grafica principale di dSploit, seleziona l’indirizzo IP dell’host sul quale vuole effettuare il suo “esperimento”. Fatto ciò tappa dapprima su MITM e successivamente su Script Injection, Nella nuova finestra che appare scegle quindi il comando Custom Code.
Compila il campo Enterthe js code to injectcon il codice Java dell’operazione che vuole far eseguire sulle pagine Web visualizzate dall’host. Per visualizzare un messaggio di testo, ad esempio, scrive <script type= “text/javascript’’> alert(‘messaggio’); </script>.
Conferma con OK: a questo punto lo script è in funzione. Ogni qualvolta l’host aprirà una nuova pagina Web, apparirà a schermo il messaggio che il pirata ha settato al passo precedente. Per terminare l’attacco, preme il pulsante Indietro dello smartphone.
[Via]