На базе предоставленной социальной сетью Facebook исследователи из института компьютерных наук ICS создали платформы для разработчиков концептуальное приложение, которые теоретически способны сделать из пользователей этой сети участников очень большой хакерской бот-сети.
Разработчиками было написано демо-предложение под названием Photo of the Day, которое доставляет пользователям разнообразные изображения из фото банка издательства National Geographic. Специально сгенерированный злонамеренный код работает в фоновом режиме, который создает из пользователей социальной сети Facebook ботов, которые используются для проведения DoS-атак на различные серверы.
Исследователи говорят:
"Мы поместили специальный код в исходники приложения, поэтому каждый раз, когда пользователи просматривают фото, HTTP-запрос генерируется и отсылается на сервер-жертву. Более того, в приложении штатными средствами Facebook был размещен скрытый фрейм, который запрашивает данные с сервера-жертвы. Каждый раз, когда пользователь кликает по картинке серверу-жертве приходится обработать данные в размере 600 кб, однако пользователи совершенно не в курсе этого".
Опираясь на слова разработчиков данного метода, созданный ими метод прост и скорей всего злоумышленники не будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.
Опираясь на слова разработчиков данного метода, созданный ими метод прост и скорей всего злоумышленники не будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.
В ICS отметили:
"Наверняка, злоумышленники создали бы более сложную и многоходовую комбинацию с использованием JavaScript и возможностей социальной сети Facebook".
Более того, настораживает тот факт, что ни пользователи, ни администрация социальной сети Facebook не замечали несколько дней, какой-либо рекламы и приложение запускали более тысячи раз.
Исследователи отметили:
"Такими темпами нагрузить сервер-жертву гигабайтами мусорного трафика в день не составит никакого труда".
В представленном докладе ICS социальной сети Facebook, говорится:
"Провайдеры социальных сетей должны быть очень осторожны, когда проектируют их платформы для разработчиков. Особенно осторожными нужно быть, когда клиенту позволяется встраивать такие технологии, как JavaScript. Оператор социальной сети должен предоставить разработчикам очень строгий API, который позволяет использовать только те ресурсы, которые непосредственно относятся к сети".
Комментариев нет:
Отправить комментарий