Home > Notícias

Teste com aplicativo no Facebook mostra brechas na segurança

Aplicativo falso é usado por pesquisadores para provar fragilidade das redes sociais em relação a aplicações de terceiros.

IDG News Service/Inglaterra

05/09/2008 às 9h21

Foto:

Um grupo de pesquisadores da Fundação de Pesquisa e Tecnologia de Heraklion, na Grécia, e do Instituto de Pesquisas Infocomm, de Cingapura, criou um programa malicioso no Facebook como um experimento para demosntrar os possíveis perigos das aplicações de terceiros na rede social.

A experiência mostra o quão fácil para invasores seria convencer um grande número de usuários a baixar uma aplicação aparentemente inofensiva que, na verdade, realiza um ataque clandestino capaz de desabilitar um web site.

O grupo  desenvolveu uma aplicação chamada "Photo of The Day" ("Foto do Dia"), que apresenta fotografias do acervo da National Geographic. Mas nos bastidores, cada vez que a aplicação é clicada, ela envia uma solicitação HTTP de 600 Kilobytes para o web site de uma determinada vítima.

As solicitações não são vistas pela pessoa que usa o "Photo of The Day", apelidado pelos pesquisadores de "Facebot". O efeito é uma intensa geração de tráfego ao site da vítima, em uma operação mais conhecida como ataque de negação de serviço, ou denial-of-service.

Os pesquisadores publicaram a aplicação no Facebook em janeiro e contaram a alguns colegas. Mesmo sem promoção, cerca de mil pessoas instalaram o programa em seus perfis.

Em seguida, os pesquisadores monitoraram o tráfego de um web site apontado como alvo das solicitações. Se as estimativas de tráfego fossem aplicadas a programas que possuem um milhão usuários, eles estimam que o site da vítima seria bombardeado com 23 Megabits por segundo de tráfego, ou 248 Gigabytes de dados não solicitados por dia.
++++
O "Facebot" ainda poderia ser usado para outros tipos de ataque. Um invasor poderia criar uma aplicação usando solicitações em JavaScript e HTTP para descobrir um determinado host que possui portas abertas. Outra possbilidade é desenvolver uma aplicação que envie um link malicioso para infectar um web site com um malware.

E já que as aplicações do Facebook podem ter acesso a detalhes pessoais do usuário, também seria possível capturar esses dados e publicá-los em um servidor remoto, afirmam os especialistas.

Entretanto, as redes sociais podem tomar algumas medidas paa evitar aplicações maliciosas. Segundo os pesquisadores, uma solução é assegurar que as aplicações não interajam com hosts que não fazem parte da rede social. O grupo recomenda que novas aplicações sejam rigorosamente verificadas pela rede social e que as APIs (application programming interfaces) sejam moldadas para não permitirem muita interação com o restante da internet.

O Photo of the Day ainda está listado no Facebook, com autoria de
Andreas Makridakis, um dos pesquisadores. A aplicação possui,
atualmente 543 usuários, e diversos comentários elogiosos.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail