Badacze tworzą złośliwą aplikację na Facebooku

Zespół naukowców stworzyli szkodliwy program na Facebooku eksperyment, który ma wykazać potencjalne zagrożenia związane z aplikacjami sieci społecznościowych.

Eksperyment pokazuje łatwość, z jaką napastnicy mogą nakłaniać dużą liczbę użytkowników do pobierania pozornie nieszkodliwej aplikacji, która w rzeczywistości wykonuje tajny atak, który może okaleczyć strona internetowa.

Facebook i inne strony internetowe, takie jak MySpace, Bebo i Google, tworzą platformy technologiczne, które umożliwiają twórcom stron trzecich tworzenie aplikacji do uruchamiania w tych witrynach. Ta koncepcja otworzyła drzwi do innowacji, ale także wywołała obawy o to, w jaki sposób można wykorzystać te aplikacje do spamowania lub kradzieży danych osobowych.

Naukowcy opracowali aplikację o nazwie "Zdjęcie dnia", która przedstawia nowy produkt National Geographic zdjęcie codziennie. Ale w tle za każdym razem, gdy kliknięta jest aplikacja, wysyła 600-bajtowe żądanie HTTP dla obrazów do witryny internetowej ofiary.

Żądania te, jak również te obrazy, nie są widziane przez kogoś używającego Photo of the Dzień, który naukowcy nazwali aplikacją "Facebot". Efektem jest napływ ruchu na stronę ofiary, znany jako atak typu "odmowa usługi".

Naukowcy przesłali swoją aplikację na Facebooku w styczniu i poinformowali o tym kilku kolegów. Nawet bez reklamy lub innej promocji blisko 1000 osób zainstalowało ją w swoich profilach, ku zaskoczeniu naukowców.

Następnie monitorowali ruch w witrynie internetowej, którą skonfigurowali na Zdjęcie Dnia do ataku. Jeśli te dane o ruchu zostały zastosowane do aplikacji Facebooka, które mają milion lub więcej użytkowników, oszacowali, że strona internetowa ofiary może być bombardowana nawet 23 M bitami na sekundę ruchu lub 248 GB niepożądanych danych dziennie.

"Aplikacje na Facebooku mają wysoce rozproszoną platformę, która ma pod kontrolą kontrolowaną siłę ognia" - napisali naukowcy.

Złośliwy Facebot mógłby zostać sfałszowany także za inne nikczemne obowiązki. Osoba atakująca może utworzyć aplikację korzystającą z żądań JavaScript i HTTP, aby dowiedzieć się, czy dany host ma otwarte porty - napisali. Inną możliwością jest skonstruowanie aplikacji, która dostarcza złośliwy link w celu zainfekowania witryny za pomocą złośliwego oprogramowania.

Ponieważ aplikacje Facebooka mogą uzyskać dostęp do danych osobowych użytkowników, aplikacja może także pobrać wszystkie te dane. szczegóły i zamieścić je na zdalnym serwerze, napisali.

Jednak serwisy społecznościowe mogą podejmować działania zapobiegające złym aplikacjom - stwierdzili naukowcy. Jednym z rozwiązań jest zapewnienie, że aplikacje nie mogą wchodzić w interakcje z hostami, które nie są częścią sieci społecznościowej. Nowe aplikacje powinny również być energicznie weryfikowane przez serwis społecznościowy. Interfejsy API (interfejsy programowania aplikacji) powinny być tworzone w taki sposób, aby nie pozwalały na zbytnią interakcję z resztą Internetu.

Zdjęcie dnia jest nadal wymienione na Facebooku, a jego autorstwo przypisywane jest Andreasowi Makridakisowi, jednemu z badaczy. Aplikacja ma obecnie 543 użytkowników, a kilka komentarzy ją pochwala.

Badanie zostało opublikowane przez Fundację Badań i Technologii w Heraklionie w Grecji oraz Instytut Badań Infocomm w Singapurze.