一位安全研究人员今天警告说,一款新的Firefox插件让“几乎所有人”都可以扫描Wi-Fi网络,并劫持他人对Facebook、Twitter和一系列其他服务的访问。

该插件被称为“Firesheep”,由总部位于西雅图的自由职业Web应用程序开发人员Eric Butler于10月22日至24日在圣地亚哥举行的ToorCon安全会议上发布。

巴特勒说,他创建Firesheep是为了显示从公共Wi-Fi点访问未加密网站的危险。

尽管网站通常使用 HTTPS 或 SSL 对用户登录进行加密,但很少有人对实际流量进行加密。“这使得 cookie 和用户容易受到攻击,”巴特勒在他的个人博客中写道。“在一个开放的无线网络上,cookie 基本上是通过空气传播的,这使得这些攻击非常容易。”
Butler 指出,有了用户的 cookie,犯罪分子就可以在网站上做任何用户可以做的事情。Firesheep 可以劫持的网站包括 Facebook、Twitter、Flickr、bit.ly、谷歌和亚马逊。
巴特勒周一没有回复采访请求。
“这些都不是新的,漏洞肯定不是,”英国安全公司 Sophos 的研究部门 SophosLabs 的美国经理 Richard Wang 说。“但 Firesheep 可以很容易地发现 [未加密的流量和 cookie],几乎任何人都可以使用它来监听其他人在公共热点的活动。”
Firesheep 为 Mozilla 的 Firefox 浏览器添加了一个侧边栏,当任何人在开放网络(例如咖啡店的 Wi-Fi 网络)上访问不安全的站点时,它会显示该边栏。“双击某人[在侧边栏中],你会立即以他们的身份登录,”巴特勒在他对他的附加组件的简短描述中说。
这个插件似乎是不可抗拒的:自从巴特勒在周日发布 Firesheep 以来,它的下载量已接近 50,000 次。
Butler 创建了 Firesheep 来说明未加密站点和公共网络的广泛问题。“网站有责任保护依赖其服务的人,”他说。“他们忽视这个责任太久了,现在是每个人都要求更安全的网络的时候了。
王说,他希望这个插件能促使更多网站加密他们的会话。“这里的希望是增加对 HTTPS 的使用,”他说。但他也敦促更多的公共网络来保护用户,尽管他承认后勤工作——分发用户连接所需的密码——将是一项艰巨的任务。“这是旧的‘安全与便利’的论点,”他指出。
王说,用户可以通过在开放网络中拒绝访问不安全的站点来保护自己。
他补充说,技术上更倾向于使用安全代理服务器的人可能会在他们的工作机器上运行一个代理服务器,然后他们的笔记本电脑可以访问该代理服务器。“但这不是普通用户的解决方案,”
Firesheep 可与 Windows 和 Mac OS X 版本的 Firefox 一起使用,