Výzkumníci vytvářejí škodlivou Facebook aplikaci

Tým výzkumníků vytvořili škodlivý program Facebook jako experiment, který by demonstroval možné nebezpečí aplikací v sociálních sítích.

Experiment ukazuje, jak snadno útočníci mohou přimět velké množství uživatelů ke stažení zdánlivě neškodné aplikace, která skutečně provádí tajný útok, který může ochromit webové stránky.

Facebook a jiné webové stránky, jako jsou MySpace, Bebo a Google, vytvářejí technologické platformy, které umožňují vývojářům třetích stran vytvářet aplikace pro provozování těchto webů. Koncept otevřel dveře inovacím, ale také vyvolal obavy, jak by tyto aplikace mohly být použity pro spam nebo krádež osobních údajů.

Výzkumníci vyvinuli aplikaci nazvanou "Fotografie dne", která slouží novému National Geographic foto denně. V pozadí však pokaždé, když je aplikace klepnutá, pošle požadavek na HTTP o velikosti 600 kB na obrázky na webových stránkách oběti.

Tyto požadavky, stejně jako tyto obrázky, nejsou viděny někým, kdo používá Photo of the Den, který výzkumníci označili za aplikaci "Facebot". Efekt je povodeň návštěvnosti webových stránek oběti, známá jako útok typu "odmítnutí služby".

Vědci odložili svou žádost na Facebook v lednu a řekli několika kolegům o tom. Dokonce ani bez reklamy nebo jiné propagace, bylo do svých profilů instalováno téměř 1 000 lidí, což bylo velkým překvapením výzkumníků.

Dále sledovali provoz na webových stránkách, které si vytvořili pro Foto dne na útok. Pokud byly tyto údaje o provozu aplikovány na Facebook aplikace, které mají milión nebo více uživatelů, odhadli, že webová stránka oběti může být bombardována až 23 M bitů za sekundu provozu nebo 248 G bajtů nechtěných dat za den. > "Aplikace Facebook mají vysokou distribuovanou platformu s významnou palebnou silou útoku pod jejich kontrolou," napsali výzkumní pracovníci.

Škodlivý Facebot by mohl být také zmanipulován pro jiné zločinecké povinnosti. Útočník by mohl vytvořit aplikaci, která používá požadavky na JavaScript a HTTP, aby zjistila, zda určitý hostitel má určité otevřené porty, napsali. Další možností je vytvořit aplikaci, která přináší škodlivý odkaz, aby infikoval web se škodlivým softwarem.

Vzhledem k tomu, že aplikace Facebook mohou získat přístup k osobním údajům uživatelů, bude také možné, aby aplikace uchopila všechny tyto detaily a odesílání na vzdálený server, napsali.

Místa sociálních sítí však mohou přijmout opatření k prevenci špatných aplikací. Jedním prostředkem je zajištění toho, aby aplikace nemohly komunikovat s hostiteli, kteří nejsou součástí sociální sítě. Nové aplikace by také měly být důrazně ověřeny stránkami sociálních sítí. Rozhraní API (rozhraní pro programování aplikací) by měly být vytvořeny tak, aby nedocházelo k přílišné interakci se zbytkem internetu.

Fotografie dne jsou stále uvedeny na Facebooku, jeho autorství je připsáno Andreasovi Makridakisovi, jednomu z výzkumníků. Aplikace má nyní 543 uživatelů, s několika připomínkami.

Studie byla publikována Nadací pro výzkum a technologii v Heraklionu v Řecku a Institutem pro výzkum infocomu v Singapuru