Durch die Öffnung der Facebook Netzwerk*-Plattform für Drittanbieter vor 1,5 Jahren konnten zahlreiche Unternehmen* eigene sogenannte „Apps“ erstellen und den Facebooknutzern zur Verfügung stellen. Dabei sind einige sehr gute Anwendung entstanden, leider kann man damit auch auch ohne weiteres Schaden anrichten.
So zeigte eine Studie der Experten* der griechischen Foundation for Research and Technology Hellas (FORTH) vor einiger Zeit das man mit kleinen Javascript Tricks und einem interessant aussehendem Widget einen DDoS Angriff auf eine beliebige Webseite starten konnte. Oberflächlich wurden nur Bilder aus der Zeitschrift „National Geographic“ gezeigt, intern öffnete das App jedoch bei jedem Aufruf eine Verbindung zu einem bestimmten Server und öffnete dort ein großes Bild. Dadurch entstand natürlich Traffic auf der anderen Seite. Prinzipiell nicht schlimm, wenn jedoch 10.000 User das Widget benutzen und das täglich, dann kommt schon einiges zusammen und der Server kann in die Knie gehen.
Die Forscher waren selber überrascht wie erfolgreich ihr App nach bereits 1 Woche war. Ohne weitere Werbung für das Tool zu machen wurde es von über 1.000 Nutzern installiert. Lediglich weil es nett aussah… Das zeigt das große Potential solcher Angriffe. Mit etwas Promotion und einem interessanten App kann ein Bösewicht ganz schnell 10.000 und mehr User dazu bringen sich das betreffende Tool zu installieren. Und diese merken nichts von dem Umweg über den fremden Server.
Die Betreiber solcher Plattformen und Netzwerke (Facebook, studiVZ, MySpace) beginnen erst langsam sich auf solche Gegebenheiten einzustellen. Kürzlich richtete Facebook eine Informationsseite zum Thema ein, auf der die möglichen Risiken geschildert werden. Dort steht auch, dass das Facebook-Sicherheitsteam sich bemühe, Löcher im eigenen Code aufzudecken, aber auch auf die Hilfe Dritter angewiesen sei, um darauf aufmerksam gemacht zu werden, „ob wir etwas verpasst haben“. Eine effektivere Lösung wäre wohl, meint der griechische Forscher Athanasopoulos, Programmierer zu beschäftigen, die eingereichten Code genau untersuchen. Das geschehe in vielen Fällen nur oberflächlich. Zudem sei es schwierig für die Nutzer, überhaupt herauszufinden, was eine Anwendung eines Drittherstellers wirklich tue. „Eine Überprüfung ist aus User-Sicht kaum möglich“, meint Roel Schouwenberg, Antiviren-Forscher bei Kasperky Lab in Belgien.