Investigadores crean aplicaciones maliciosas de Facebook

Un equipo de investigadores han creado un programa malicioso de Facebook, un experimento para demostrar los posibles peligros de las aplicaciones de redes sociales.

El experimento muestra la facilidad con la que los atacantes podrían engañar a un gran número de usuarios para descargar una aplicación aparentemente inofensiva que realiza un ataque clandestino que puede paralizar un sitio web.

Facebook y otros sitios web como MySpace, Bebo y Google están creando plataformas tecnológicas que permiten a los desarrolladores de terceros crear aplicaciones para que se ejecuten en esos sitios. El concepto ha abierto la puerta a la innovación, pero también ha provocado inquietudes sobre cómo esas aplicaciones podrían utilizarse para el correo no deseado o para robar datos personales.

Los investigadores desarrollaron una aplicación llamada "Foto del día", que sirve un nuevo National Geographic foto diaria. Pero, en segundo plano, cada vez que se hace clic en la aplicación, envía una solicitud HTTP de 600 K-byte para las imágenes al sitio web de la víctima.

Aquellas solicitudes, así como esas imágenes, no las ve alguien que utiliza una foto del Día, que los investigadores han denominado una aplicación "Facebot". El efecto es una avalancha de tráfico hacia el sitio web de la víctima, conocido como un ataque de denegación de servicio.

Los investigadores cargaron su aplicación a Facebook en enero y le dijeron a algunos colegas al respecto. Incluso sin publicidad u otra promoción, cerca de 1,000 personas lo instalaron en sus perfiles, para sorpresa de los investigadores.

Luego controlaron el tráfico en un sitio web que configuraron para la Foto del día para atacar. Si esas cifras de tráfico se aplicaron a las aplicaciones de Facebook que tienen un millón o más de usuarios, estimaron que el sitio web de la víctima podría ser bombardeado con hasta 23 M bits por segundo de tráfico, o 248 G bytes de datos no deseados por día.

"Las aplicaciones de Facebook tienen una plataforma altamente distribuida con poder de ataque significativo bajo su control", escribieron los investigadores.

El Facebot malicioso también podría ser manipulado para otras tareas nefastas. Un atacante podría crear una aplicación que utiliza JavaScript y solicitudes HTTP para averiguar si un determinado host tiene ciertos puertos abiertos, escribieron. Otra posibilidad es construir una aplicación que entregue un enlace malicioso para infectar un sitio web con malware.

Dado que las aplicaciones de Facebook pueden obtener acceso a los datos personales de los usuarios, también sería posible que la aplicación tome todos esos de los detalles y publicarlos en un servidor remoto, escribieron.

Sin embargo, los sitios de redes sociales pueden tomar medidas para evitar malas aplicaciones, dijeron los investigadores. Un remedio es asegurar que las aplicaciones no puedan interactuar con los hosts que no son parte de la red social. Las nuevas aplicaciones también deben ser verificadas enérgicamente por el sitio de redes sociales. Las API (interfaces de programación de aplicaciones) deben diseñarse para no permitir demasiada interacción con el resto de Internet.

La foto del día todavía aparece en Facebook, y su autoría se atribuye a Andreas Makridakis, uno de los investigadores. La aplicación cuenta ahora con 543 usuarios, con varios comentarios que la elogian.

El estudio fue publicado por la Fundación para la Investigación y la Tecnología en Heraklion, Grecia, y el Instituto de Investigación de Infocomm en Singapur.