Pull to refresh

Скрытая угроза сторонних приложений

Reading time 4 min
Views 571
Original author: technologyreview.com
С тех пор, как полтора года назад, Facebook дал зелёный свет сторонним приложениям, миллионы пользователей приютили на своих страницах дополнительные иконки с играми, музыкальными- и кино-рекомендациями, а также прочие инструменты для прожигания жизни. Вместе с этим, по мере роста популярности сторонних приложений, специалисты по компьютерной безопасности всё больше беспокоятся о том, как предотвратить злоупотребления. То, что позволяет социальным сетям так эффективно распространять приложения – доступ к связям пользователя – может стать идеальным механизмом для распространения вредоносных программ.

Ряд исследований продемонстрировали, что основания для беспокойства таки есть. На Конференции по информационной безопасности, которая прошла на этой неделе на Тайване, сотрудники Центра исследований и технологии Эллады (FORTH) представили результаты эксперимента, в котором приняли участие некоторые пользователи Facebook. Исследователи разработали специальное приложение, которое показывает на странице профиля пользователя фотографии из National Geographic. Однако, незаметно для пользователя, приложение запрашивает большие графические файлы на атакуемом сервере – в данном случае, специальном сервере, принадлежащем FORTH. Если приложение установлено на страницах достаточно большого количества пользователей, то поток запросов может оказаться настолько огромным, что сервер просто не выдержит нагрузки и станет недоступным.

Один из участников проекта FORTH Илай Атанасополос, сообщил, что исследователи не занимались целенаправленным продвижением своего приложения, однако, как оказалось, около 1000 пользователей Facebook установили его себе в течении первого же дня. Атака, которая последовала в результате, не была такой уж мощной, но, по словам Илая, вполне способной вывести из строя небольшой веб-сайт, и кроме этого, он предполагает, что есть способы значительно усилить её мощность. Действие атаки, основывается на открытом доступе к платформе Facebook. «Отнюдь не просто найти такой способ предоставить платформу (сторонним разработчикам), чтобы это не могло привести к негативным последствиям для остальной части сети», — полагает Илай.

Более детальный анализ, включающий в себя несколько разных сайтов социальных сервисов, показывает, что возможный урон может быть куда значительнее. Два консультанта по компьютерной безопасности – Натан Гамиэль из Hexagon Security Group и Шон Моер из Agura Digital Security – представили примеры вредоносных приложений для платформы OpenSocial, которая используется MySpace, hi5, Orkut и ещё несколькими социальными сервисами. Одно из их демонстрационных приложений, под названием DoSer, отключает от сайта тех юзеров, которые просматривают профиль взломанного пользователя больше семи секунд. Другое, под названием CSRFer, отправляет поддельные предложения подружиться, от имени пользователя, чей аккаунт подвергся атаке. Гамиэль полагает, что есть огромное множество способов натворить дестрой на социальных сервисах, и что противостоять злоумышленникам задача не из лёгких. «Приложение проникает весьма глубоко под кожу сервиса», — говорит Натан.

Главная проблема заключается в том, что пользователям не всегда легко разобраться, что именно делает конкретное приложение для социального сервиса. «Будучи пользователем, вы не можете проверить, какие действия выполняет приложение», — говорит Роиль Шауэнберг из бельгийского отделения Kaspersky Lab. «Лично мне, как специалисту по компьютерной безопасности, этот факт отнюдь не доставляет удовольствия».

Как полагает Гамиэль, социальный фактор также играет важную роль, поскольку социальные сервисы создают атмосферу доверия, чем и пользуются злоумышленники. К примеру, недавно по Facebook под видом обновления для Flash, распространялась вредоносная программа, которую народ передавал друг-другу вирусным способом. «Именно социальный фактор заставил пользователей совершать губительные, с технической точки зрения, поступки», — полагает Гамиэль.

Компании, которые стоят за социальными сервисами, только сейчас начинают обращать внимание на вопросы безопасности. К примеру, Facebook недавно создал специальную «страницу безопасности», на которой пользователи могут просветиться на счёт возможных опасностей, которые их могут подстерегать на сайте. Как заявляет компания, её команда безопасности «не покладая рук, трудиться над выявлением уязвимостей в собственной системе, а также сотрудничает с внешним сообществом, приглашая указывать на то, что остаётся незамеченным».

Гамиэль обеспокоен тем, что на 100% застраховаться от вредоносных программ невозможно. Он указывает на то, что злоумышленник может разработать приложение, которое будет казаться вполне безобидным, но, как только количество установивших его пользователей достигнет определённой точки, хозяин легко превратит его в разрушительную программу, обновив приложение вредоносным кодом.

Ограничение возможностей всех приложений также не представляется подходящим решением проблемы, поскольку этот шаг лишит их того, чем они привлекают к себе пользователей. «Складывается щекотливое положение, ведь цель социальных сервисов способствовать творческой фантазии и общениию», — говорит Натан. «Пресекать этот креатив, означает действовать против самого сервиса».

По мнению Атаносополоса, самым лучшим решением было бы нанять специальных программистов, которые бы проверяли код, из которого состоят внешние приложения. Однако, он понимает, что затраты на подобную услугу окажутся неприемлемыми для большинства компаний.

Гамиэль считает, что, по мере роста популярности социальных сервисов, атаки будут учащаться. «Народ менее внимательно относится к программам, которые запускаются из браузера, чем к тем, которые нужно скачивать и устанавливать на жёсткий диск», — отмечает Натан. Он считает, что в будущем, отношение к подбным вещам должно измениться.

Перевод с английского:
Роман Равве

Специально для worldwebstudio
Tags:
Hubs:
+14
Comments 9
Comments Comments 9

Articles