Así que me he dado cuenta de algo que realmente me molestó y me asusté un poco por cómo es posible. Pero no quería venir aquí como "Oye, ¿cómo es posible?" así que quería hacer una investigación adecuada y finalmente encontré la respuesta (casi por eso estoy aquí). También estoy aquí, porque definitivamente no soy el único, quien se pregunta cómo es esto posible, así que quiero señalar un poco este problema.
Estaba en casa de mi amigo y quería demostrarle rápidamente el ataque MitM a través de la aplicación de Android ZAnti. Es una aplicación realmente poderosa y quería mostrarle lo que un atacante podía ver cuando hacía MIT (ARP). Así que le estaba mostrando muchas cosas interesantes y le dije que si la página usa HTTPS, no puedo ver nada, pero aún es bastante peligroso. Bueno, él quería ver, así que se conectó a su facebook y su contraseña apareció en mi teléfono ... Y fue en este momento que supe, algo no está bien aquí.
Absolutamente se asustó, pero me asombró. En este momento, comenzamos a hacer teorías acerca de cómo esos desarrolladores chinos de Maxthon piratearon a NSA / FBI, robaron sus claves privadas de SSL / TLS de Facebook y ahora las están usando y robando silenciosamente las cuentas de Facebook de las personas. Bueno, obviamente esto no es cierto.
De todos modos, lo primero que me vino a la mente fue este sitio y cómo debo publicar una pregunta sobre este tema lo antes posible. Pero quería darte suficientes datos con los que trabajar para poder resolver algo de forma colectiva. Así que comenzaré a publicar la "" "investigación" "" ya que definitivamente vale la pena echarle un vistazo.
Primero necesitaba replicar el ataque. Encendí mi navegador Opera y probé lo mismo. Nada. Absolutamente nada. Ni siquiera vi que me conecté a Facebook (porque ZAnti filtra las solicitudes https, ya que son inútiles). Así que probé hrej.cz (es solo la página web local que sé que es http y lo uso cuando quiero asegurarme de que mi MitM está funcionando) y estaba allí. Así que está funcionando.
AsífuerealmentedebidoaMaxthon,asíquefuiadescargarloeintentarlodenuevo.Yvi.Estabaalli.LaaplicaciónusaSSLstrippordefecto,asíquepenséquepodríaserporeso,peroFacebookusaHSTSparaquenotenganingúnsentido.PerocuandorevisélabarradelaURL,micerebrodeseguridadmurióporunsegundo.EstabanavegandoenFacebookatravésdeHTTP.
Losientopormilocalización.Todoestáencheco,perointentarétraducirlomásimportante
Labarraverdedicequeelsitioestá"certificado por CEAIA".
¡Pero Facebook usa HSTS! Bueno, resultó que Facebook sí lo hace, pero Maxthon no lo admite. Y aquí es donde respondí a mi pregunta pero surgió otra. ¿Por qué facebook todavía procesa las solicitudes http? Quiero decir, Facebook podría simplemente bloquearlo y ni siquiera permitirlo. ¿Dónde está el truco?
Por cierto, Maxthon estaba entre otros navegadores recomendados para Win10 cuando mi amigo lo instaló por primera vez. Es un poco temible que sea tan inseguro.