A kutatók rosszindulatú Facebook alkalmazásokat készítettek

egy rosszindulatú Facebook programot készített egy kísérletnek a társadalmi hálózati alkalmazások lehetséges veszélyeinek kimutatására.

A kísérlet azt mutatja, hogy a támadók mennyire könnyítik meg a felhasználók nagy számát egy olyan látszólag ártalmatlan alkalmazás letöltésére, amely ténylegesen titkos támadást hajt végre, egy weboldal.

A Facebook és más webhelyek, mint a MySpace, a Bebo és a Google olyan technológiai platformokat hoznak létre, amelyek lehetővé teszik a harmadik féltől származó fejlesztők számára, hogy ezeken a webhelyeken futtatni tudjanak alkalmazásokat. A koncepció megnyitotta az utat az innováció számára, de aggodalmakat keltett attól is, hogy ezek az alkalmazások hogyan használhatók a levélszemétre vagy a személyes adatok ellopására.

A kutatók egy "National Day fotó naponta. De a háttérben minden alkalommal, amikor az alkalmazás kattint, 600 képtárnyi HTTP kérést küld a képeknek az áldozat weboldalára.

A kéréseket, valamint ezeket a képeket nem látja valaki a Photo of the Day, amelyet a kutatók "Facebot" alkalmazásnak neveztek. A hatás az áldozat weboldala felé irányuló forgalom árvize, amelyet szolgáltatás-megtagadási támadásnak neveznek.

A kutatók januárban feltöltötték alkalmazásukat a Facebookra, és elmondták neki néhány munkatársat. Még hirdetés vagy egyéb promóció nélkül is közel 1000 ember telepítette a profiljukba, sok a kutatók meglepetésére.

Aztán megfigyelték a forgalmat egy olyan weboldalon, amelyet a Nap fotójának támadása céljából állítottak fel. Ha ezek a forgalmi adatok olyan Facebook alkalmazásokra vonatkoznak, amelyeknek millió vagy több felhasználója van, úgy becsülik, hogy az áldozatok weboldalát akár 23 millió bit másodpercenként, vagy 248 G bájtnyi nem kívánt adat naponta bombázhatja. > "A Facebook alkalmazásoknak egy nagyon elterjedt platformja van, amelynek jelentős támadási teljesítménye van az irányításuk alatt" - írta a kutatók.

A rosszindulatú Facebot más nehéz feladatokra is felszerelhetõ. A támadó létrehozhat egy alkalmazást, amely JavaScript és HTTP kéréseket használ, hogy kiderüljön, hogy egy adott fogadó bizonyos portokat nyitott, írtak. Egy másik lehetőség egy olyan alkalmazás létrehozása, amely rosszindulatú kapcsolatot bocsát rendelkezésre annak érdekében, hogy megfertőzzön egy webhelyet rosszindulatú programokkal.

Mivel a Facebook alkalmazások hozzáférhetnek a felhasználók személyes adataihoz, lehetséges, hogy az alkalmazás megragad minden és elküldte őket egy távoli szerverre, írtak.

A közösségi oldalak azonban meghozhatják a rossz alkalmazások megakadályozását célzó intézkedéseket. Az egyik megoldás annak biztosítása, hogy az alkalmazások ne tudjanak kölcsönhatásban állókkal, amelyek nem képezik részét a közösségi hálózatnak. Az új alkalmazásokat a közösségi hálózaton is erőteljesen ellenőrizni kell. Az API-kat (alkalmazásprogramozási felületek) úgy kell kialakítani, hogy ne engedjék túl sok interakciót az internet többi részével.

A nap fotó még mindig szerepel a Facebookon, amelynek szerzője Andreas Makridakisnak, az egyik kutatónak tulajdonítható. A kérelemnek 543 felhasználója van, több megjegyzéssel dicsérve.

A tanulmányt a Görögországi Heraklionban működő Kutatási és Technológiai Alapítvány, valamint az Infocomm Research Institute of Singapore (Szingapúr) Intézet kiadta.