I ricercatori costruiscono un'applicazione dannosa per Facebook

Un team di ricercatori hanno costruito un programma dannoso su Facebook un esperimento per dimostrare i possibili pericoli delle applicazioni di social networking.

L'esperimento mostra la facilità con cui gli hacker potrebbero ingannare un gran numero di utenti per scaricare un'applicazione apparentemente innocua che esegue effettivamente un attacco clandestino che può paralizzare un sito Web.

Facebook e altri siti Web come MySpace, Bebo e Google stanno creando piattaforme tecnologiche che consentono agli sviluppatori di terze parti di creare applicazioni da eseguire su tali siti. Il concetto ha aperto le porte all'innovazione, ma ha anche suscitato preoccupazioni su come queste applicazioni potrebbero essere utilizzate per lo spam o per rubare dati personali.

I ricercatori hanno sviluppato un'applicazione chiamata "Foto del giorno", che serve un nuovo National Geographic foto al giorno. Ma sullo sfondo, ogni volta che si fa clic sull'applicazione, invia una richiesta HTTP da 600 K-byte per le immagini sul sito Web di una vittima.

Quelle richieste, così come quelle, non sono viste da qualcuno che usa Foto del Giorno, che i ricercatori hanno definito un'applicazione "Facebot". L'effetto è un flusso di traffico verso il sito Web della vittima, noto come attacco denial-of-service.

I ricercatori hanno caricato la loro applicazione su Facebook a gennaio e ne hanno parlato con alcuni colleghi. Anche senza pubblicità o altre promozioni, quasi 1.000 persone lo hanno installato nei loro profili, con grande sorpresa dei ricercatori.

Poi hanno monitorato il traffico su un sito Web che avevano impostato per Photo of the Day per attaccare. Se tali dati sul traffico sono stati applicati alle applicazioni di Facebook che hanno un milione o più utenti, hanno stimato che il sito Web di una vittima potrebbe essere bombardato fino a 23 M bit al secondo di traffico o 248 G byte di dati indesiderati al giorno. > "Le applicazioni di Facebook hanno una piattaforma altamente distribuita con una potenza di fuoco di attacco significativa sotto il loro controllo", hanno scritto i ricercatori.

Il malevolo Facebot potrebbe anche essere truccato per altri compiti nefandi. Un utente malintenzionato potrebbe creare un'applicazione che utilizza le richieste JavaScript e HTTP per capire se un determinato host ha determinate porte aperte, hanno scritto. Un'altra possibilità è quella di costruire un'applicazione che fornisca un collegamento malevolo per infettare un sito Web con malware.

Poiché le applicazioni di Facebook possono accedere ai dettagli personali degli utenti, sarebbe anche possibile che l'applicazione catturasse tutti quelli dettagli e li postano su un server remoto, hanno scritto.

Tuttavia, i siti di social networking possono adottare misure per prevenire applicazioni non valide, hanno detto i ricercatori. Un rimedio è garantire che le applicazioni non possano interagire con host che non fanno parte del social network. Le nuove applicazioni dovrebbero anche essere verificate con vigore dal sito di social networking. Le API (interfacce di programmazione delle applicazioni) dovrebbero essere progettate in modo da non consentire troppa interazione con il resto di Internet.

La foto del giorno è ancora elencata su Facebook, con la sua paternità attribuita a Andreas Makridakis, uno dei ricercatori. L'applicazione ha ora 543 utenti, con numerosi commenti che la lodano.

Lo studio è stato pubblicato dalla Fondazione per la ricerca e la tecnologia a Heraklion, in Grecia, e dall'Istituto per la ricerca Infocomm a Singapore.