Para Peneliti Membangun Aplikasi Facebook Berbahaya

Sebuah tim peneliti telah membuat program Facebook yang berbahaya sebagai eksperimen untuk menunjukkan kemungkinan bahaya aplikasi jejaring sosial.

Eksperimen ini menunjukkan kemudahan penyerang yang dapat menipu sejumlah besar pengguna untuk mengunduh aplikasi yang tampaknya tidak berbahaya yang benar-benar melakukan serangan rahasia yang dapat melumpuhkan sebuah situs web.

Facebook dan situs web lain seperti MySpace, Bebo dan Google menciptakan platform teknologi yang memungkinkan pengembang pihak ketiga membangun aplikasi untuk dijalankan di situs tersebut. Konsep ini telah membuka pintu untuk inovasi, tetapi juga mendorong kekhawatiran atas bagaimana aplikasi tersebut dapat digunakan untuk spam atau mencuri data pribadi.

Para peneliti mengembangkan aplikasi bernama "Photo of the Day," yang menyajikan National Geographic baru foto setiap hari. Tetapi di latar belakang, setiap kali aplikasi diklik, ia mengirim permintaan HTTP 600 K-byte untuk gambar ke situs Web korban.

Permintaan tersebut, serta gambar-gambar itu, tidak dilihat oleh seseorang yang menggunakan Foto dari Hari, yang para peneliti sebut sebagai aplikasi "Facebot". Efeknya adalah banjir lalu lintas ke situs Web korban, yang dikenal sebagai serangan denial-of-service.

Para peneliti mengunggah aplikasi mereka ke Facebook pada bulan Januari dan memberi tahu beberapa rekan tentang hal itu. Bahkan tanpa iklan atau promosi lainnya, hampir 1.000 orang memasangnya di profil mereka, sangat mengejutkan para peneliti.

Mereka kemudian memantau lalu lintas di situs Web yang mereka buat untuk Photo of the Day untuk menyerang. Jika angka lalu lintas itu diterapkan pada aplikasi Facebook yang memiliki satu juta pengguna atau lebih, mereka memperkirakan situs Web korban dapat dibombardir sebanyak 23 M bit per detik dari lalu lintas, atau 248 G byte data yang tidak diinginkan per hari.

"Aplikasi Facebook memiliki platform yang sangat terdistribusi dengan serangan senjata yang signifikan di bawah kendali mereka," tulis para peneliti.

Facebot yang jahat juga bisa dicurangi untuk tugas jahat lainnya. Seorang penyerang dapat membuat aplikasi yang menggunakan permintaan JavaScript dan HTTP untuk mencari tahu apakah suatu host tertentu memiliki port tertentu terbuka, tulis mereka. Kemungkinan lain adalah untuk membangun sebuah aplikasi yang mengirimkan tautan berbahaya untuk menginfeksi situs Web dengan malware.

Karena aplikasi Facebook dapat memperoleh akses ke rincian pribadi pengguna, itu juga mungkin bagi aplikasi untuk mengambil semua itu rincian dan mempostingnya ke server jauh, mereka menulis.

Namun, situs jejaring sosial dapat mengambil langkah-langkah untuk mencegah aplikasi yang buruk, kata para peneliti. Satu obat adalah memastikan bahwa aplikasi tidak dapat berinteraksi dengan host yang bukan bagian dari jejaring sosial. Aplikasi baru juga harus diverifikasi secara penuh oleh situs jejaring sosial. API (antarmuka pemrograman aplikasi) harus dibuat agar tidak terlalu banyak interaksi dengan bagian Internet lainnya.

Photo of the Day masih terdaftar di Facebook, dengan kepenulisannya dikaitkan dengan Andreas Makridakis, salah satu peneliti. Aplikasi ini memiliki 543 pengguna sekarang, dengan beberapa komentar yang memuji itu.

Penelitian ini diterbitkan oleh Yayasan Riset dan Teknologi di Heraklion, Yunani, dan Institut Penelitian Infocomm di Singapura.