Forskere bygger ondsindet Facebook-applikation

Et forskergruppe har opbygget et ondskabsfuldt Facebook-program et eksperiment til at demonstrere de mulige farer ved sociale netværksapplikationer.

Eksperimentet viser, hvor lette angriberne kunne bruge mange brugere til at downloade en tilsyneladende harmløs applikation, der rent faktisk udfører et clandestint angreb, der kan forvirre et websted.

Facebook og andre websteder som MySpace, Bebo og Google skaber teknologiplatforme, der giver tredjepartsudviklere mulighed for at bygge programmer, der kan køre på disse websteder. Konceptet har åbnet døren for innovation, men har også givet anledning til bekymringer over, hvordan disse applikationer kunne bruges til spam eller stjæle personlige data.

Forskerne udviklede en ansøgning kaldet "Photo of the Day", der tjener en ny National Geographic billede dagligt. Men i baggrunden sender hver enkelt ansøgning en 600 k byte HTTP-anmodning om billeder til et offerets websted.

Disse anmodninger og billederne ses ikke af nogen, der bruger Photo of the Day, som forskerne har kaldt en "Facebot" ansøgning. Effekten er en oversvømmelse af trafik til offerets hjemmeside, kendt som et benægtelsesangreb.

Forskerne uploadede deres ansøgning til Facebook i januar og fortalte nogle kolleger om det. Selv uden reklame eller anden forfremmelse installerede næsten 1.000 mennesker det i deres profiler, meget til forskernes overraskelse.

De overvåger derefter trafikken på et websted, som de har oprettet for Photo of the Day at angribe. Hvis disse trafik tal blev anvendt til Facebook-applikationer, der har en million eller flere brugere, kunne de anslå et offers websted blive bombarderet med så meget som 23 M bits per sekund af trafik eller 248 G bytes uønskede data om dagen.

"Facebook-applikationer har en stærkt distribueret platform med betydelig angrebsstyrke under deres kontrol," skrev forskerne.

Den ondsindede Facebot kunne også være rigget til andre falske pligter. En angriber kan oprette et program, der bruger JavaScript- og HTTP-anmodninger for at finde ud af, om en bestemt vært har visse porte åbne, skrev de. En anden mulighed er at opbygge en applikation, der leverer et ondsindet link for at inficere et websted med malware.

Da Facebook-applikationer kan få adgang til brugerens personlige oplysninger, vil det også være muligt for ansøgningen at gribe alle disse detaljer og sende dem til en fjernserver, skrev de.

Sociale netværk kan imidlertid træffe foranstaltninger for at forhindre dårlige applikationer, siger forskerne. Et middel er at sikre, at applikationer ikke kan interagere med værter, der ikke er en del af det sociale netværk. Nye applikationer skal også styrkes kraftigt af det sociale netsted. API'er (applikationsprogrammeringsgrænseflader) bør udformes således, at de ikke tillader for meget interaktion med resten af ​​internettet.

Foto af dagen er stadig opført på Facebook, med dets forfatterskap tilskrives Andreas Makridakis, en af ​​forskerne. Ansøgningen har 543 brugere nu, med flere kommentarer, der roser det.

Undersøgelsen blev offentliggjort af Stiftelsen for Forskning og Teknologi i Heraklion, Grækenland og Institute for Infocomm Research i Singapore.