| | | | | | | |

	Бизнес Аналитика Hardware Программы Коммуникации Интернет Googlopedia Технологии Безопасность Развлечения События Социальные сети Лаборатория Интервью Прочее Пресс-релизы Apple Реклама IT образование Архив новостей Экспорт новостей Реклама на сайте Редакция Обратная связь Подписка на RSS microsoft Интернет Google Apple телефон реклама Intel samsung Китай США сервис iPhone память сеть процессор IBM AMD социальная сеть Хакер nokia домен Игра Видеокарта браузер ноутбук ОС блог программа Sony суд рынок Яндекс оператор Youtube отчет Beeline Yahoo работа видео цензура связь статистика мобильный телефон вирус Cisco Ноутбук уанет МТС Linux Киевстар



ITUA на карте интернета!

08-09-2008 13:22

Новости - Безопасность

Пользователи сети Facebook рискуют стать участниками огромной бот-сети

Исследователи из Института компьютерных наук ICS создали на базе предоставленной социальной сетью Facebook платформы для разработчиков концептуальное приложение, теоретически способное сделать из пользователей этой сети участников огромной хакерской бот-сети.

Разработчики написали демо-приложение под названием Photo of the Day, которое доставляет пользователям разнообразные изображения из фотобанка издательства National Geographic, однако в фоновом режиме работает специально сгенерированный злонамеренный код, который создает из пользователей Facebook ботов, используемых для проведения DoS-атак на различные серверы.

"Мы поместили специальный код в исходники приложения, поэтому каждый раз, когда пользователи просматривают фото, HTTP-запрос генерируется и отсылается на сервер-жертву. Более того, в приложении штатными средствами Facebook был размещен скрытый фрейм, который запрашивает данные с сервера-жертвы. Каждый раз, когда пользователь щелкает по картинке серверу-жертве приходится обработать данные в размере 600 кб, однако пользователи совершенно не в курсе этого", - говорят исследователи.

По словам авторов метода, созданный ими метод довольно прост и вряд ли злоумышленники будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.

"Наверняка, злоумышленники создали бы более сложную и многоходовую комбинацию с использованием JavaScript и возможностей Facebook", - отмечают в ICS.

Еще более настораживающим выглядит тот факт, что ни администрация сервиса, ни пользователи подвоха не заметили и за пару дней без какой-либо рекламы приложение запускали более тысячи раз.

"Такими темпами нагрузить сервер-жертву гигабайтами мусорного трафика в день не составит никакого труда", - отмечают исследователи.

В ICS говорят, что уже предоставили свой отчет компании Facebook.

"Провайдеры социальных сетей должны быть очень осторожны, когда проектируют их платформы для разработчиков. Особенно осторожными нужно быть, когда клиенту позволяется встраивать такие технологии, как JavaScript. Оператор социальной сети должен предоставить разработчикам очень строгий API, который позволяет использовать только те ресурсы, которые непосредственно относятся к сети", - отмечается в докладе ICS.

cybersecurity.ru

Также по теме:

Представлен новый финансовый директор Facebook

В Голливуде снимут фильм о Facebook

Рекламодатели Facebook жалуются на мошеннические клики

Facebook проиграла судебный иск против StudiVZ