Beveiligingsonderzoekers hebben een drone omgebouwd om al vliegende wifi-verbindingen met telefoons, tablets en andere apparaten met wifi te kunnen kapen. De drone doet zich voor als een vertrouwd netwerk, waarna het apparaat automatisch met de drone verbinding maakt.

De onderzoekers, die hun bevindingen volgende week op de Black Hat-conferentie in Singapore zullen presenteren, hebben de drone al gedemonstreerd aan CNN. Zowel de drone van de hackers als de Pineapple maken gebruik van een ontwerpfout in wifi.

Apparaten met wifi die niet verbonden zijn met internet maar die wel wifi aan hebben staan, zenden een signaal uit waaruit blijkt naar welke netwerken ze op zoek zijn. Een aanvaller kan daarop reageren door net te doen alsof het het netwerk is waar de gebruiker naar op zoek is, waarna die automatisch verbinding maakt.

Bij een test in Londen wisten de onderzoekers van 150 mensen te verzamelen naar welke netwerken ze op zoek waren. In een andere test onderschepte de drone gebruikersnamen en wachtwoorden van Amazon, PayPal en Yahoo die speciaal voor het onderzoek waren aangemaakt.

Het is onbekend hoe de onderzoekers ssl omzeilden; waarschijnlijk pasten ze een man in the middle-aanval toe waarbij de drone zich voordoet als de gebruiker. Daardoor kan hj de versleuteling ongedaan maken en de site vervolgens over http onbeveiligd doorsturen naar de gebruiker.

Alles bij de bron; Tweakers