Het experiment toont aan hoe eenvoudig het is om een kwaadaardige aanvalsbot als ogenschijnlijk onschuldige facebook applicatie te verspreiden. De researchers, afkomstig uit Griekenland en Singapore, ontwikkelden een programma met de naam 'Photo Of The Day', dat dagelijks een nieuwe foto van National Geographic toont.

Facebot

Een onzichtbaar proces op de achtergrond zorgt er echter voor dat er bij elke klik een HTTP-aanvraag van 600 Kb naar de website van een slachtoffer wordt gestuurd. Nader onderzoek wees uit dat dit kan leiden tot een dataload van 23 Mb per seconde, omgerekend zo'n 248 Gb per dag. Daarmee kan het een website platleggen, vergelijkbaar met een DDoS-aanval.

Op sociale netwerksites als Facebook, MySpace en Bebo is het mogelijk om applicaties van derde partijen toe te voegen. Dit leidt vaak tot innovatieve ideeën, maar het biedt eveneens mogelijkheden aan spammers en andere kwaadwilligen.

Onbeperkt toegang

"Facebook-applicaties hebben onbeperkt toegang tot persoonlijke gegevens van gebruikers, dus het is eenvoudig om deze te verzamelen en te versturen naar een afzonderlijke server", zo schrijven de onderzoekers in hun rapport. "Om dit te voorkomen moet het onmogelijk gemaakt worden om via een applicatie verbinding te maken met een externe website."

'Photo Of The Day' werd afgelopen januari toegevoegd aan Facebook, waarna ruim duizend gebruikers het installeerden op hun profiel. Dit tot verbazing van de onderzoekers, die er vrijwel geen ruchtbaarheid aan hadden gegeven. Op dit moment heeft de applicatie 543 gebruikers.