Forscher bauen boshafte Facebook-Anwendung auf

Ein Team von Forschern haben ein bösartiges Facebook-Programm erstellt, um die möglichen Gefahren von Social-Networking-Anwendungen zu demonstrieren.

Das Experiment zeigt, wie leicht Angreifer eine große Anzahl von Benutzern dazu verleiten können, eine scheinbar harmlose Anwendung herunterzuladen, die einen heimlichen Angriff durchführt, der lähmen kann Eine Website.

Facebook und andere Websites wie MySpace, Bebo und Google erstellen Technologieplattformen, auf denen Drittentwickler Anwendungen für diese Websites erstellen können. Das Konzept hat die Tür zu Innovationen geöffnet, aber auch Bedenken ausgelöst, wie diese Anwendungen für Spam verwendet oder persönliche Daten gestohlen werden könnten.

Die Forscher entwickelten eine Anwendung namens "Foto des Tages", die ein neues National Geographic auf den Markt bringt Foto täglich. Aber im Hintergrund wird bei jedem Klick auf die Anwendung eine 600 KByte große HTTP-Anforderung für Bilder an die Website eines Opfers gesendet.

Diese Anfragen sowie diese Bilder werden von keinem Benutzer mit Foto des Benutzers gesehen Day, den die Forscher als "Facebot" -Anwendung bezeichnet haben. Die Folge ist eine Flut von Zugriffen auf die Website des Opfers, die als Denial-of-Service-Attacke bezeichnet wird.

Die Forscher haben ihre Anwendung im Januar auf Facebook hochgeladen und einigen Kollegen davon erzählt. Sogar ohne Werbung oder andere Werbung installierten fast 1.000 Leute es in ihren Profilen, sehr zur Überraschung der Forscher.

Sie überwachten dann den Verkehr auf einer Website, die sie für das Foto des Tages zum Angriff eingerichtet hatten. Wenn diese Verkehrszahlen auf Facebook-Anwendungen mit einer Million oder mehr Nutzern angewendet wurden, schätzten sie, dass die Website eines Opfers mit bis zu 23 Mbit pro Sekunde Verkehr oder 248 Gbyte unerwünschter Daten pro Tag bombardiert werden konnte.

"Facebook-Anwendungen haben eine hochverteilte Plattform mit beträchtlicher Angriffsstärke unter ihrer Kontrolle", schrieben die Forscher.

Der bösartige Facebot könnte auch für andere ruchlose Aufgaben manipuliert werden. Ein Angreifer könnte eine Anwendung erstellen, die JavaScript- und HTTP-Anfragen verwendet, um herauszufinden, ob ein bestimmter Host bestimmte Ports geöffnet hat, schreiben sie. Eine andere Möglichkeit besteht darin, eine Anwendung zu konstruieren, die einen schädlichen Link liefert, um eine Website mit Malware zu infizieren.

Da Facebook-Anwendungen Zugriff auf die persönlichen Daten der Benutzer haben, ist es auch möglich, dass die Anwendung alle diese Dateien abruft Details und post sie auf einem Remote-Server, schrieben sie.

Allerdings können Social-Networking-Sites Maßnahmen ergreifen, um schlechte Anwendungen zu verhindern, sagte der Forscher. Eine Abhilfe besteht darin sicherzustellen, dass Anwendungen nicht mit Hosts interagieren können, die nicht Teil des sozialen Netzwerks sind. Neue Anwendungen sollten auch von der Social-Networking-Site gründlich überprüft werden. APIs (Anwendungsprogrammierschnittstellen) sollten so gestaltet sein, dass sie nicht zu viel Interaktion mit dem Rest des Internets zulassen.

Foto des Tages ist immer noch auf Facebook gelistet, wobei seine Urheberschaft auf Andreas Makridakis, einen der Forscher, zurückzuführen ist. Die Anwendung hat jetzt 543 Benutzer, mit einigen Kommentaren, die es loben.

Die Studie wurde von der Stiftung für Forschung und Technologie in Heraklion, Griechenland, und dem Institut für Infocomm Forschung in Singapur veröffentlicht.