Исследователи создают вредоносное приложение Facebook

Команда исследователей создали экспериментальную демонстрацию вредоносной программы Facebook, чтобы продемонстрировать возможные опасности приложений для социальных сетей.

Эксперимент показывает легкость, с которой злоумышленники могут обманывать большое количество пользователей при загрузке, казалось бы, безобидного приложения, которое фактически выполняет подпольную атаку, которая может калечить веб-сайт.

Facebook и другие веб-сайты, такие как MySpace, Bebo и Google, создают технологические платформы, позволяющие сторонним разработчикам создавать приложения для работы на этих сайтах. Концепция открыла двери для инноваций, но также вызвала беспокойство по поводу того, как эти приложения могут использоваться для спама или кражи персональных данных.

Исследователи разработали приложение под названием «Фото дня», которое обслуживает новый National Geographic фото ежедневно. Но в фоновом режиме каждый раз, когда нажимается приложение, он отправляет HTTP-запрос 600 килобайт HTTP для изображений на веб-сайт жертвы.

Эти запросы, а также те изображения, не видны кем-то, кто использует фотографию День, который исследователи назвали «Facebot». Эффект - это поток трафика на веб-сайт жертвы, известный как атака отказа в обслуживании.

Исследователи загрузили свое приложение в Facebook в январе и рассказали об этом нескольким коллегам. Даже без рекламы или другой рекламы около 1000 человек установили ее в своих профилях, к удивлению исследователей.

Затем они отслеживали трафик на веб-сайте, который они настроили для «Фото дня», чтобы атаковать. Если эти показатели трафика были применены к приложениям Facebook, у которых есть миллион или более пользователей, они подсчитали, что веб-сайт жертвы может быть подвергнут бомбардировке целых 23 Мбит / с трафика или 248 Гбайт нежелательных данных в день.

«Приложения Facebook имеют высоко распределенную платформу со значительной угрозой атаки под их контролем», - пишут исследователи.

Злоумышленник Facebot также может быть сфальсифицирован для других гнусных обязанностей. Злоумышленник может создать приложение, которое использует JavaScript и HTTP-запросы, чтобы выяснить, есть ли у определенного хоста определенные порты, как они писали. Другая возможность - создать приложение, которое поставляет вредоносную ссылку, чтобы заразить веб-сайт вредоносными программами.

Поскольку приложения Facebook могут получить доступ к личным данным пользователей, также было бы возможно, чтобы приложение захватило все эти подробности и опубликовать их на удаленном сервере, они писали.

Тем не менее, сайты социальных сетей могут принимать меры для предотвращения плохих приложений, говорят исследователи. Одним из средств защиты является то, что приложения не могут взаимодействовать с хостами, которые не являются частью социальной сети. Новые приложения также должны быть тщательно проверены сайтом социальной сети. API-интерфейсы (интерфейсы прикладного программирования) должны быть созданы таким образом, чтобы не допускать слишком большого взаимодействия с остальной частью Интернета.

Фотография дня по-прежнему указана в Facebook, авторство которой приписывается Андреасу Макрикакису, одному из исследователей. В настоящее время приложение имеет 543 пользователя, несколько комментариев оценивают его.

Исследование было опубликовано Фондом исследований и технологий в Ираклионе (Греция) и Институтом исследований инфокоммуникаций в Сингапуре.