Onderzoekers hebben een Facebook applicatie verspreidt die elke dag een foto van National Geographic laat zien, maar in werkelijkheid malware installeert en het sociale netwerk tot een groot botnet omtovert. Tijdens een beveiligingsconferentie in Taiwan zullen de onderzoekers van het Griekse Institute of Computer Foundation for Research & Technology hun bevindingen publiceren. Het onderzoek laat zien hoe eenvoudig het is om het vertrouwen dat op dit soort netwerken aanwezig is, te misbruiken. Niet alleen staat het vrij voor gebruikers om eigen applicaties te ontwikkelen en die te verspreiden, veel gebruikers accepteren dit soort widgets en andere tools zonder enige argwaan.

De Facebot installeerde niet echt malware, aangezien het alleen om een demonstratie ging. Die liet wel zien dat Facebook-gebruikers happig op nieuwe applicaties zijn. Zonder gebruikers uit te nodigen om de applicatie te downloaden, wisten binnen een paar dagen zo'n duizend mensen het "Photo of the Day" programma te vinden. Zodra de gebruiker het programma installeerde kreeg die niet alleen een natuurfoto te zien, maar kreeg de computer ook de opdracht om 600 kilobyte aan HTTP requests naar een aan te vallen machine te sturen, die in dit geval eigendom van de onderzoekers was. Een serieuze aanpak zou voor gigantische DDoS-aanvallen van gigabytes aan dataverkeer per dag kunnen zorgen.

"We hebben gedemonstreerd dat een applicatie binnen een sociaal netwerk eenvoudig een grote groep van miljoenen gebruikers kan aantrekken die daarna massaal de host van het slachtoffer aanvallen," aldus de onderzoekers in dit rapport. Facebook beschikt over 64 miljoen gebruikers en serieuze aanvallers kunnen die groep op een veel gevaarlijkere manier misbruiken dan de onderzoekers deden. Kwaadaardige widgets en tools zijn ook in te zetten voor het stelen van persoonlijke informatie, verspreiden van malware en host scanning.

Verantwoordelijkheid

Volgens de onderzoekers moeten sociale netwerken zoals Facebook en MySpace voorzichtig zijn met het ontwikkelen van APIs die tussen het sociale netwerk en de rest van het internet communiceren. Verder moeten de APIs veel strenger worden in wat mogelijk is binnen een applicatie en gebruikte client side technologieën zoals JavaScript. Ook zouden sociale netwerken de applicaties die ze aanbieden beter moeten controleren.