Tutkijat rakentavat haitallisen Facebook-sovelluksen

ovat rakentaneet haitallisen Facebook-ohjelman kokeilemaan sosiaalisten verkostoitumisympäristöjen mahdollisten vaarojen osoittamista.

Koe osoittaa, kuinka helposti hyökkääjät voisivat haastaa suuren määrän käyttäjiä lataamaan näennäisesti harmittomia sovelluksia, jotka todella tekevät salaisen hyökkäyksen, joka voi lamauttaa Web-sivusto.

Facebook ja muut verkkosivustot, kuten MySpace, Bebo ja Google, luovat teknologiaympäristöjä, joiden avulla kolmannen osapuolen kehittäjät voivat kehittää sovelluksia näiden sivustojen suorittamiseen. Konsepti on avannut oven innovaatioille, mutta myös herättäneet huolta siitä, kuinka näitä sovelluksia voitaisiin käyttää roskapostille tai varastaa henkilötietoja.

Tutkijat kehittivät hakemuksen nimeltä "Valokuva päivä", joka palvelee uutta National Geographic valokuva päivittäin. Taustalla kuitenkin joka kerta, kun sovellusta napsautetaan, se lähettää kuvien 600 K-tavuisen HTTP-pyynnön uhrin Web-sivustolle.

Näitä pyyntöjä, samoin kuin näitä kuvia, ei näy joku, joka käyttää Photo of the Day, jonka tutkijat ovat nimittäneet Facebot-sovellukseksi. Vaikutus on liikenteen tulva uhrin verkkosivustolle, joka tunnetaan palvelunestohyökkäykseksi.

Tutkijat lähettivät hakemuksensa Facebookiin tammikuussa ja kertoivat muutamille kollegoille siitä. Jopa ilman mainontaa tai muuta mainontaa, lähes 1000 ihmistä asensi sen profiileihinsa, paljon tutkijoiden yllätykseksi.

He seurasivat liikennettä Web-sivustossa, jonka he asettivat Photo of the Day -hyökkäyksille. Jos liikennetietoja sovellettiin Facebook-sovelluksiin, joissa on miljoona tai useampia käyttäjiä, he arvioivat, että uhrin verkkosivustoa voidaan pommittaa peräti 23 miljoonalla sekunnilla liikenteestä tai 248 G tavua ei-toivottuja tietoja päivässä.

"Facebook-sovelluksissa on hyvin hajautettu foorumi, jolla on huomattava hyökkäysvoima niiden hallinnassa", kirjoitti tutkijat.

Haitallinen Facebot voitaisiin myös varustaa muille haastaville tehtäville. Hyökkääjä voi luoda sovelluksen, joka käyttää JavaScript- ja HTTP-pyyntöjä selvittääkseen, onko tietyllä isännällä tietyt portit auki, ja he kirjoittavat. Toinen mahdollisuus on luoda sovellus, joka tuottaa haitallisen linkin tartunnan saamiseksi verkkosivustolta haittaohjelmien avulla.

Koska Facebook-sovellukset voivat päästä käsiksi käyttäjien henkilötietoihin, sovellus voi myös napata kaikki nämä yksityiskohtia ja lähetä ne etäpalvelimelle, he kirjoittavat.

Sosiaalisen verkostoitumisen sivustot voivat kuitenkin ryhtyä toimenpiteisiin estääkseen huonoja sovelluksia, tutkijat sanoivat. Yksi ratkaisu on varmistaa, että sovellukset eivät voi olla vuorovaikutuksessa isäntien kanssa, jotka eivät ole osa sosiaalista verkostoa. Sosiaalisen verkostoitumisen on myös vahvistettava uudet sovellukset tarkasti. Sovellusohjelmointirajapintoja (sovellusohjelmointirajapintoja) olisi muotoiltava siten, että liikaa vuorovaikutusta muiden Internetin kanssa ei päästetä.

Päivän kuva on edelleen listattu Facebookissa, jonka tekijä on Andreas Makridakis, yksi tutkijoista.

Tutkimus julkaisi tutkimus- ja teknologian säätiö Heraklionissa Kreikassa ja Singaporen Infocomm Research -instituutti.