Δημιουργούν ένα κακόβουλο πρόγραμμα Facebook

έχουν κατασκευάσει ένα κακόβουλο πρόγραμμα Facebook ένα πείραμα για να αποδείξει τους πιθανούς κινδύνους των εφαρμογών κοινωνικής δικτύωσης

Το πείραμα δείχνει την ευκολία με την οποία οι επιτιθέμενοι θα μπορούσαν να χτυπήσουν μεγάλο αριθμό χρηστών για να κατεβάσουν μια φαινομενικά αβλαβή εφαρμογή που πραγματικά εκτελεί μια παράνομη επίθεση που μπορεί να μολύνει μια τοποθεσία Web

Το Facebook και άλλες τοποθεσίες Web όπως το MySpace, το Bebo και το Google δημιουργούν τεχνολογικές πλατφόρμες που αφήνουν τους προγραμματιστές τρίτων κατασκευαστών να δημιουργούν εφαρμογές για να τρέχουν σε αυτούς τους ιστότοπους. Η έννοια έχει ανοίξει την πόρτα για την καινοτομία, αλλά επίσης προκάλεσε ανησυχίες σχετικά με το πώς αυτές οι εφαρμογές θα μπορούσαν να χρησιμοποιηθούν για spam ή να κλέψουν προσωπικά δεδομένα.

Οι ερευνητές ανέπτυξαν μια εφαρμογή που ονομάζεται "Φωτογραφία της Ημέρας", η οποία εξυπηρετεί μια νέα National Geographic φωτογραφία καθημερινά. Αλλά στο παρασκήνιο, κάθε φορά που κάνετε κλικ στην εφαρμογή, στέλνει ένα αίτημα HTTP 600 K-byte για εικόνες στην τοποθεσία Web του θύματος.

Αυτά τα αιτήματα, καθώς και αυτές οι εικόνες, δεν φαίνονται από κάποιον που χρησιμοποιεί το Photo of the Ημέρα, την οποία οι ερευνητές χαρακτήρισαν ως εφαρμογή "Facebot". Το αποτέλεσμα είναι μια πλημμύρα της κυκλοφορίας στον ιστότοπο του θύματος, γνωστή ως επίθεση άρνησης υπηρεσίας.

Οι ερευνητές ανέβασαν την αίτησή τους στο Facebook τον Ιανουάριο και μίλησαν σε μερικούς συναδέλφους. Ακόμη και χωρίς διαφήμιση ή άλλη προβολή, σχεδόν 1.000 άτομα το εγκατέστησαν στα προφίλ τους, πολύ για την έκπληξη των ερευνητών.

Παρακολούθησαν την επισκεψιμότητα σε μια τοποθεσία Web που δημιούργησαν για φωτογραφία της ημέρας για να επιτεθούν. Αν αυτά τα στοιχεία κυκλοφορίας εφαρμοστούν σε εφαρμογές Facebook που έχουν ένα εκατομμύριο ή περισσότερους χρήστες, εκτιμούσαν ότι ο ιστότοπος του θύματος θα μπορούσε να βομβαρδιστεί από έως και 23 M bits ανά δευτερόλεπτο κίνησης ή 248 G bytes ανεπιθύμητων δεδομένων ανά ημέρα. > "Οι εφαρμογές Facebook έχουν μια εξαιρετικά διανεμημένη πλατφόρμα με σημαντική πυροτεχνική δύναμη επίθεσης υπό τον έλεγχό τους", γράφει ο ερευνητής.

Το κακό Facebot θα μπορούσε επίσης να παραπλανηθεί για άλλα κακά καθήκοντα. Ένας εισβολέας θα μπορούσε να δημιουργήσει μια εφαρμογή που χρησιμοποιεί τα JavaScript και τα HTTP αιτήματα για να καταλάβει αν ένας συγκεκριμένος κεντρικός υπολογιστής έχει ορισμένες θύρες ανοιχτές, έγραψαν. Μια άλλη δυνατότητα είναι η κατασκευή μιας εφαρμογής που παρέχει έναν κακόβουλο σύνδεσμο για να μολύνει έναν ιστότοπο με κακόβουλο λογισμικό.

Δεδομένου ότι οι εφαρμογές Facebook μπορούν να έχουν πρόσβαση στα προσωπικά στοιχεία των χρηστών, θα είναι επίσης δυνατό για την εφαρμογή να αρπάξει όλα αυτά τα στοιχεία και τα δημοσιεύουν σε έναν απομακρυσμένο διακομιστή, έγραψαν.

Ωστόσο, οι ιστότοποι κοινωνικής δικτύωσης μπορούν να λάβουν μέτρα για την πρόληψη κακών εφαρμογών, ανέφεραν οι ερευνητές. Μια λύση είναι να διασφαλιστεί ότι οι εφαρμογές δεν μπορούν να αλληλεπιδράσουν με κεντρικούς υπολογιστές που δεν ανήκουν στο κοινωνικό δίκτυο. Οι νέες εφαρμογές θα πρέπει επίσης να επαληθεύονται με σθένος από τον ιστότοπο κοινωνικής δικτύωσης. Τα API (διεπαφές προγραμματισμού εφαρμογών) πρέπει να είναι σχεδιασμένα έτσι ώστε να μην επιτρέπουν την υπερβολική αλληλεπίδραση με το υπόλοιπο Διαδίκτυο.

Η φωτογραφία της Ημέρας εξακολουθεί να παρατίθεται στο Facebook, με το συγγραφικό της έργο να αποδίδεται στον Ανδρέα Μακρυδάκη, έναν από τους ερευνητές. Η έρευνα έχει δημοσιευθεί από το Ίδρυμα Τεχνολογίας και Έρευνας στο Ηράκλειο της Ελλάδας και το Ινστιτούτο Έρευνας Πληροφορικής στη Σιγκαπούρη