Pesquisadores criam aplicativo malicioso para Facebook

Uma equipe de pesquisadores O experimento mostra a facilidade com que os invasores podem enganar um grande número de usuários para fazer o download de um aplicativo aparentemente inofensivo que realmente realiza um ataque clandestino que pode prejudicar a segurança. um site da Web.

O Facebook e outros sites, como MySpace, Bebo e Google, estão criando plataformas de tecnologia que permitem que desenvolvedores de terceiros criem aplicativos para serem executados nesses sites. O conceito abriu as portas para a inovação, mas também gerou preocupações sobre como esses aplicativos poderiam ser usados ​​para spam ou roubar dados pessoais.

Os pesquisadores desenvolveram um aplicativo chamado "Foto do Dia", que serve para um novo National Geographic. foto diariamente. Mas em segundo plano, toda vez que o aplicativo é clicado, ele envia uma solicitação HTTP de 600 bytes K para imagens para o site da vítima.

Essas solicitações, assim como aquelas imagens, não são vistas por alguém usando o Photo of the Day, que os pesquisadores chamaram de aplicativo "Facebot". O efeito é uma inundação de tráfego para o site da vítima, conhecido como um ataque de negação de serviço.

Os pesquisadores fizeram o upload de seu aplicativo para o Facebook em janeiro e contaram a alguns colegas sobre isso. Mesmo sem publicidade ou outra promoção, cerca de 1.000 pessoas a instalaram em seus perfis, para grande surpresa dos pesquisadores.

Eles então monitoraram o tráfego em um site que eles montaram para a Foto do Dia para atacar. Se esses números de tráfego fossem aplicados a aplicativos do Facebook que têm um milhão ou mais de usuários, eles estimavam que o site da vítima poderia ser bombardeado por até 23 Mbits por segundo de tráfego ou 248 G bytes de dados indesejados por dia. "Os aplicativos do Facebook têm uma plataforma altamente distribuída com poder de fogo de ataque significativo sob seu controle", escreveram os pesquisadores.

O malicioso Facebot também pode ser manipulado para outras tarefas nefastas. Um invasor pode criar um aplicativo que usa solicitações JavaScript e HTTP para descobrir se um determinado host tem certas portas abertas, eles escreveram. Outra possibilidade é construir um aplicativo que forneça um link mal-intencionado para infectar um site com malware.

Como os aplicativos do Facebook podem obter acesso aos detalhes pessoais dos usuários, também seria possível que o aplicativo pegasse todos eles. detalhes e publicá-los em um servidor remoto, eles escreveram.

No entanto, os sites de redes sociais podem tomar medidas para prevenir aplicativos ruins, disseram os pesquisadores. Um remédio é garantir que os aplicativos não possam interagir com hosts que não fazem parte da rede social. Novos aplicativos também devem ser vigorosamente verificados pelo site de redes sociais. As APIs (interfaces de programação de aplicativos) devem ser criadas de modo a não permitir muita interação com o restante da Internet.

A Photo of the Day ainda está listada no Facebook, com sua autoria atribuída a Andreas Makridakis, um dos pesquisadores. O aplicativo tem 543 usuários agora, com vários comentários elogiando-o.

O estudo foi publicado pela Fundação de Pesquisa e Tecnologia em Heraklion, na Grécia, e o Instituto de Pesquisa Infocomm em Cingapura.