Исследователи из Института компьютерных наук ICS создали на базе предоставленной социальной сетью Facebook платформы для разработчиков концептуальное приложение, теоретически способное сделать из пользователей этой сети участников огромной хакерской бот-сети.
Разработчики написали демо-приложение под названием Photo of the Day, которое доставляет пользователям разнообразные изображения из фотобанка издательства National Geographic, однако в фоновом режиме работает специально сгенерированный злонамеренный код, который создает из пользователей Facebook ботов, используемых для проведения DoS-атак на различные серверы.
“Мы поместили специальный код в исходники приложения, поэтому каждый раз, когда пользователи просматривают фото, HTTP-запрос генерируется и отсылается на сервер-жертву. Более того, в приложении штатными средствами Facebook был размещен скрытый фрейм, который запрашивает данные с сервера-жертвы. Каждый раз, когда пользователь щелкает по картинке серверу-жертве приходится обработать данные в размере 600 кб, однако пользователи совершенно не в курсе этого”, – говорят исследователи.
По словам авторов метода, созданный ими метод довольно прост и вряд ли злоумышленники будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.
“Наверняка, злоумышленники создали бы более сложную и многоходовую комбинацию с использованием JavaScript и возможностей Facebook”, – отмечают в ICS.
Еще более настораживающим выглядит тот факт, что ни администрация сервиса, ни пользователи подвоха не заметили и за пару дней без какой-либо рекламы приложение запускали более тысячи раз.
“Такими темпами нагрузить сервер-жертву гигабайтами мусорного трафика в день не составит никакого труда”, – отмечают исследователи.
В ICS говорят, что уже предоставили свой отчет компании Facebook.
“Провайдеры социальных сетей должны быть очень осторожны, когда проектируют их платформы для разработчиков. Особенно осторожными нужно быть, когда клиенту позволяется встраивать такие технологии, как JavaScript. Оператор социальной сети должен предоставить разработчикам очень строгий API, который позволяет использовать только те ресурсы, которые непосредственно относятся к сети”, – отмечается в докладе ICS.
cybersecurity.ru
