Mobile App mit der FRITZ!Box analysieren
19.06.2016 - Sebastian Pech - ~2 Minuten
„Die FRITZ!Box kann zur Diagnose alle Datenpakete im Wireshark-Format mitschneiden.“ beschreibt die Hilfeseite zum Paketmitschnitt. Die Funktionen sind etwas versteckt. Die Mitschnitte sind hervorragend geeignet um zu ermitteln wie gesprächsfreudig Android Apps sind.
Daten aufzeichnen
Der Link fritz.box/html/capture.html öffnet den Bereich für den Paketmitschnitt. Alle vorhandenen Interfaces sind hier hinterlegt. Entweder können spezifische Zugangskanäle ermittelt werden oder sämtlicher Traffic welcher ins Internet geleitet wird. Die „Start“ Schaltfläche startet den Download einer gestreamten Datei. Nachdem genug Daten gesammelt sind ist die Aufzeichnung unbedingt über „Stopp“ zu beenden. Das Abbrechen des Downloads führt andernfalls zu einer korrupten Datei.
Analyse mit Wireshark
Wireshark ist ein sehr mächtiges Tool zur Analyse von Netzwerkaufzeichnungen (Networkdumps, tcpdumps, …). Die soeben erstellte Datei lässt sich ebenfalls öffnen. In dem Hauptfenster sind alle durchgeführten Verbindungen dargestellt. Mit Hilfe von Filtern kann der Datenstrom aufbereitet werden. Sämtliche Daten welche nicht verschlüsselt mittels TLS/SSL übertragen wurden (https) können direkt durch den HTTP Protocol Filter zur Ansicht kommen. Bei meiner Analyse nutze ich MyFitnessPal. Dieses lädt Werbung (ads) aus dem Internet nach. Ein Paket ist hier beispielsweise:
Hypertext Transfer Protocol
User-Agent: Mozilla/5.0 (Linux; Android xxx; ANDROIDGERÄT Build/HANDYVERSION; wv) AppleWebKit/WEBKITVERSION (KHTML, like Gecko) Version/4.0 Chrome/CHROMEVERSION Mobile Safari/SAFARIVERSION\r\n
[Full request URI [truncated]: http://ads.mopub.com/m/ad?v=6&id=EINDEUTIGEID&nv=4.5.1&dn=ANDROIDGERÄT&bundle=com.myfitnesspal.android&q=QUERYl&ll=LATITUDE2CLONGITUDE&lla=??&llf=???]
In diesem einzigen Aufruf wird der Webseite mopub.com eine ganze Menge an Daten übermittelt. Neben den Versionen und Namen des Mobilfunkgerätes enthält der Aufruf die Versionen der genutzten Browser und Toolkits. Außerdem wird eine eindeutige ID sowie die GPS Standortdaten des Gerätes übermittelt. Das Werbeunternehmen kann somit bei jedem Aufruf mein Profil deutlich besser schärfen und meine Informationen weiter aushorchen. Die nächsten Daten erhält die Webseite openx.com, ebenfalls auf Werbung und Analyse spezialisiert. Auch Google ist mittels doubleclick involviert. Viel mehr Informationen und die Gefahren gibt es unter DEF CON 22 – Anch – The Monkey in the Middle: A pentesters guide to playing in traffic .