Forskere bygger ondsinnet Facebook-applikasjon

Et forskersamfunn har bygget et ondsinnet Facebook-program et eksperiment for å demonstrere de mulige farene ved sosiale nettverksprogrammer.

Eksperimentet viser hvor enkelt angriperne kunne tvinge mange brukere til å laste ned et tilsynelatende ufarlig program som faktisk utfører et hemmelig angrep som kan kreme et nettsted.

Facebook og andre nettsteder som MySpace, Bebo og Google skaper teknologiplattformer som lar tredjepartsutviklere bygge programmer som kan kjøre på disse nettstedene. Konseptet har åpnet døren for innovasjon, men også oppfordret til bekymringer for hvordan disse programmene kan brukes til spam eller stjele personopplysninger.

Forskerne utviklet et program kalt "Photo of the Day", som serverer en ny National Geographic bilde daglig. Men i bakgrunnen sender hver enkelt applikasjon en 600 k-byte HTTP-forespørsel om bilder til et offers nettsted.

Disse forespørslene, samt bildene, blir ikke sett av noen som bruker Photo of the Dag, som forskerne har betegnet som et "Facebot" -program. Effekten er en oversvømmelse av trafikk til offerets nettsted, kjent som et benektningsangrep.

Forskerne lastet opp søknaden til Facebook i januar og fortalte noen kolleger om det. Selv uten reklame eller annen forfremmelse, installerte nær 1000 mennesker det i sine profiler, mye til forskernes overraskelse.

De overvåket deretter trafikken på et nettsted de satt opp til Photo of the Day å angripe. Hvis disse trafikkstallene ble brukt på Facebook-applikasjoner som har en million eller flere brukere, kunne de anslå at et offers nettsted kunne bli bombardert med så mye som 23 M bits per sekund med trafikk, eller 248 G bytes uønskede data per dag.

"Facebook-applikasjoner har en svært distribuert plattform med betydelig angrepskildskap under deres kontroll," skrev forskerne.

Den ondsinnede Facebot kan også bli rigget for andre falske oppgaver. En angriper kan opprette et program som bruker JavaScript- og HTTP-forespørsler for å finne ut om en bestemt vert har bestemte porter åpne, skrev de. En annen mulighet er å konstruere et program som leverer en ondsinnet lenke for å infisere et nettsted med skadelig programvare.

Siden Facebook-applikasjoner kan få tilgang til brukerens personlige detaljer, vil det også være mulig for søknaden å ta tak i alle disse detaljer og legg dem til en ekstern server, skrev de.

Men sosiale nettverk kan ta tiltak for å hindre dårlige applikasjoner, sa forskerne. Ett middel er å sikre at applikasjoner ikke kan interagere med verter som ikke er en del av det sosiale nettverket. Nye applikasjoner bør også være kraftig verifisert av nettsamfunnet. APIer (applikasjonsprogrammeringsgrensesnitt) bør utformes for ikke å tillate for mye samhandling med resten av Internett.

Foto av dagen er fremdeles oppført på Facebook, med forfatterskapet tilskrives Andreas Makridakis, en av forskerne. Søknaden har 543 brukere nå, med flere kommentarer som roser det.

Studien ble publisert av Stiftelsen for forskning og teknologi i Heraklion, Hellas og Institute for Infocomm Research i Singapore.