Un equipo de investigadores construyeron un programa malicioso para Facebook que demuestra los posibles peligros de las aplicaciones de las redes sociales.
Un grupo de investigadores han construido un programa malicioso para Facebook, en un experimento que busca demostrar los posibles peligros de las aplicaciones de las redes sociales.
El experimento demuestra la facilidad con la que los atacantes podrían engañar a un gran número de usuarios para que descarguen una aplicación que parece inofensiva, pero que de hecho realiza un ataque clandestino que puede paralizar una página Web.
Facebook y otros sitios Web como MySpace, Bebo y Google están creando plataformas tecnológicas que le permite a terceros desarrollar aplicaciones que corran en esos sitios. El concepto le ha abierto la puerta a la innovación, pero también ha provocado preocupaciones sobre cómo esas aplicaciones podrían ser usadas para divulgar spam, o robar datos personales.
Los investigadores desarrollaron una aplicación llamada “Foto del Día” (Photo of the Day), que muestra una foto de National Geographic nueva todos los días. Pero en el fondo, cada vez que se hace clic en la aplicación, envía una petición HTTP de 600Kb de imágenes al Web site de una víctima.
Esas peticiones, así como esas imágenes, no son vistas por alguien usando “Foto del Día”, que los investigadores han llamado una aplicación “Facebot”. El efecto es una inundación de tráfico al sitio de la víctima, un ataque conocido como “negación de servicio”.
Los investigadores subieron la aplicación a Facebook en enero y le dijeron a algunos colegas al respecto. Aun sin publicidad o cualquier otro tipo de promoción, caso 1000 personas la instalaron en su perfil, para gran sorpresa de los investigadores.
Entonces monitorearon el tráfico a una página Web diseñada para ser atacada por “Foto del Día”. Si esos números de tráfico estuviesen aplicados a aplicaciones de Facebook que tienen un millón o más de usuarios, estimaron que el sitio Web de una víctima podría ser bombardeado por tanto como 23 millones de bits por segundo de tráfico, o 248 GB de datos no deseados, por día.
“Las aplicaciones de Facebook tienen una plataforma altamente distribuida con una gran fuerza de ataque bajo su control”, escribieron los investigadores.
El Facebot malicioso podría también ser establecido para otros viles fines. Un atacante podría crear una aplicación que use peticiones JavaScript y HTTP para averiguar si un host en particular tiene ciertos puertos abiertos, escribieron. Otra posibilidad es construir una aplicación que envíe un vínculo malicioso para así infectar un Web site con malware.
Como las aplicaciones de Facebook tienen acceso a los detalles personales del usuario, también existe la posibilidad de que la aplicación tome todos esos detalles y los publique en un servidor remoto, escribieron.
Sin embargo, los sitios de redes sociales pueden tomar medidas para prevenir malas aplicaciones, dijeron los investigadores. Un remedio es asegurar que las aplicaciones no puedan interactuar con hosts que no sean parte de la red social. Las nuevas aplicaciones también deberían ser verificadas vigorosamente por el sitio de la red social. Los APIs (Interfaz de Programación de Aplicaciones) deberían ser diseñados para no permitir mucha interacción con el resto de la Internet.
“Foto del Día” todavía está listado en Facebook, y su autoría es atribuida a Andreas Makridakis, uno de los investigadores. La aplicación tiene ahora 543 usuarios, con muchos comentarios que la alaban.
El studio fue publicado por la Fundación para la Investigación y la Tecnología en Heraklion, Grecia, y el Instituto para Investigación de Infocomm de Singapur.
Por Jeremy Kirk
IDG News Service (Agencia de Londres)