Onderzoekers bouwen schadelijke Facebook-toepassing

Een team van onderzoekers een kwaadaardig Facebook-programma hebben gebouwd als experiment om de mogelijke gevaren van toepassingen voor sociale netwerken aan te tonen.

Het experiment toont het gemak waarmee aanvallers een groot aantal gebruikers kunnen bedriegen en een ogenschijnlijk onschuldige toepassing kunnen downloaden die daadwerkelijk een clandestiene aanval uitvoert die kreupel kan zijn een website.

Facebook en andere websites zoals MySpace, Bebo en Google creëren technologieplatforms waarmee externe ontwikkelaars applicaties kunnen bouwen die op die sites kunnen worden uitgevoerd. Het concept heeft de deur geopend naar innovatie, maar zorgde ook voor zorgen over hoe deze toepassingen kunnen worden gebruikt voor spam of het stelen van persoonlijke gegevens.

De onderzoekers ontwikkelden een applicatie genaamd "Photo of the Day", die een nieuwe National Geographic serveert foto dagelijks. Maar op de achtergrond verzendt elke keer dat op de toepassing wordt geklikt, een 600 K-byte HTTP-aanvraag voor afbeeldingen naar de website van een slachtoffer.

Die verzoeken, evenals die afbeeldingen, worden niet gezien door iemand die Foto van de gebruiker gebruikt Dag, die de onderzoekers een "Facebot" -toepassing hebben genoemd. Het effect is een stortvloed van verkeer naar de website van het slachtoffer, bekend als een denial-of-service-aanval.

De onderzoekers hebben hun applicatie in januari geüpload naar Facebook en vertelden er een paar collega's over. Zelfs zonder reclame of andere promotie, installeerden bijna 1.000 mensen het in hun profielen, tot grote verbazing van de onderzoekers.

Ze controleerden vervolgens het verkeer op een website die ze hadden ingesteld voor 'Photo of the Day' om aan te vallen. Als die verkeerscijfers zijn toegepast op Facebook-toepassingen met een miljoen of meer gebruikers, schatten ze dat de website van een slachtoffer zou kunnen worden gebombardeerd met wel 23 M bits per seconde verkeer of 248 G bytes aan ongewenste gegevens per dag.

"Facebook-applicaties hebben een zeer gedistribueerd platform met aanzienlijke vuurkracht onder vuur," schreven de onderzoekers.

De kwaadwillende Facebot kan ook worden gefraudeerd voor andere schandelijke plichten. Een aanvaller kan een toepassing maken die JavaScript- en HTTP-aanvragen gebruikt om erachter te komen of een bepaalde host bepaalde poorten heeft geopend, zo schreven ze. Een andere mogelijkheid is om een ​​applicatie te bouwen die een kwaadaardige link aflevert om een ​​website met malware te infecteren. <> Aangezien Facebook-applicaties toegang kunnen krijgen tot de persoonlijke gegevens van gebruikers, zou het ook mogelijk zijn om al die details en post ze naar een externe server, schreef ze.

Echter, sociale netwerksites kunnen maatregelen nemen om slechte applicaties te voorkomen, aldus de onderzoekers. Een remedie is ervoor te zorgen dat applicaties geen interactie kunnen hebben met hosts die geen deel uitmaken van het sociale netwerk. Nieuwe applicaties moeten ook krachtig worden geverifieerd door de sociale netwerksite. API's (programmeerinterfaces voor toepassingen) moeten zodanig zijn ontworpen dat er niet teveel interactie met de rest van het internet is.

Foto van de dag staat nog steeds op Facebook, met het auteurschap ervan aan Andreas Makridakis, een van de onderzoekers. De applicatie heeft nu 543 gebruikers, met verschillende commentaren die het prezen.

Het onderzoek is gepubliceerd door de Stichting voor Onderzoek en Technologie in Heraklion, Griekenland, en het Instituut voor Infocomm Research in Singapore.