Forskare bygger skadlig Facebook-applikation

Ett forskargrupp har byggt ett skadligt Facebook-program ett experiment för att visa de möjliga farorna med sociala nätverkstillämpningar.

Experimentet visar hur enkelt angrepparna kan dra ett stort antal användare till att ladda ner en till synes ofarlig applikation som faktiskt utför ett hemligt angrepp som kan försvaga en webbplats.

Facebook och andra webbplatser som MySpace, Bebo och Google skapar teknikplattformar som låter tredjepartsutvecklare bygga program som ska köras på de här webbplatserna. Konceptet har öppnat dörren för innovation, men orsakade också oro över hur dessa applikationer kan användas för skräppost eller stjäla personuppgifter.

Forskarna utvecklade en ansökan som heter "Dagens Foto", som tjänar upp en ny National Geographic foto dagligen. Men i bakgrunden skickas det varje gång applikationen klickas, en HTTP-begäran om 600 K byte för bilder till ett offrets webbplats.

Dessa förfrågningar, liksom bilderna, ses inte av någon som använder Photo of the Dag, som forskarna har kallat en "Facebot" -ansökan. Effekten är en översvämning av trafik till offrets webbplats, känd som en benägenhet att neka beteende.

Forskarna lade upp sin ansökan till Facebook i januari och berättade för några kollegor om det. Till och med utan reklam eller annan kampanj installerade nästan 1000 personer det i sina profiler, mycket till forskarnas överraskning.

De övervakade sedan trafiken på en webbplats som de satt upp för Photo of the Day att attackera. Om dessa trafikuppgifter användes på Facebook-applikationer som har en miljon eller fler användare, beräknas de att ett offrets webbplats skulle kunna bombarderas med så mycket som 23 M bitar per sekund av trafik eller 248 G byte av oönskade data per dag.

"Facebook-applikationer har en mycket distribuerad plattform med betydande attackvapenkraft under deras kontroll", skrev forskarna.

Den onda Facebot kan också vara riggen för andra häftiga uppgifter. En angripare kan skapa en applikation som använder JavaScript och HTTP-förfrågningar för att ta reda på om en viss värd har vissa portar öppna, skrev de. En annan möjlighet är att bygga en applikation som levererar en skadlig länk för att infektera en webbplats med skadlig kod.

Eftersom Facebook-applikationer kan få åtkomst till användarnas personliga uppgifter, skulle det också vara möjligt för applikationen att fånga alla dessa detaljer och skicka dem till en fjärrserver, skrev de.

Men sociala nätverk kan vidta åtgärder för att förebygga dåliga program, säger forskarna. En lösning är att säkerställa att applikationer inte kan interagera med värdar som inte ingår i det sociala nätverket. Nya applikationer bör också kraftfullt verifieras av den sociala nätverksplatsen. API: er (programmeringsgränssnitt) bör utformas så att det inte tillåter för mycket interaktion med resten av Internet.

Foto av dagen är fortfarande listad på Facebook, med dess författarskap tillskrivet Andreas Makridakis, en av forskarna. Ansökan har 543 användare nu, med flera kommentarer som berömmer det.

Studien publicerades av Stiftelsen för forskning och teknik i Heraklion, Grekland och Institute for Infocomm Research i Singapore.