Lâchée dans la nature et diffusée par des collaborateurs du groupe de recherche, l'application Photo of the Day a attiré en seulement quelques jours plus de 1 000 utilisateurs Facebook, séduits à l'idée d'afficher chaque jour une photo différente de National Geographic. Via cette application, les machines des membres Facebook piégés pour la bonne cause de la démonstration, ont participé à une attaque de type déni de service à l'encontre d'un serveur, en l'occurrence victime volontaire.
Dans le code source de l'application, du code malveillant a été placé et ainsi à chaque fois qu'un utilisateur visualisait une photo, des requêtes HTTP étaient générées à destination du serveur cobaye. Plus précisément, quatre frames dissimulées, et à chaque clic au sein de l'application, une requête de 600 ko générée à l'insu de l'utilisateur. Des pointes à 300 requêtes par heure ont été enregistrées pour un trafic qui a atteint à ses plus belles heures, 6 Mbits par seconde. Un sérieux avertissement pour Facebook avec du code qui aurait pu être bien plus sophistiqué et la perspective de pourvoir constituer l'un des plus importants botnets de la planète.
Un cadre plus strict pour les applications
Dans leur rapport où les chercheurs parlent de " réseaux antisociaux " ou de la possibilité de transformer un réseau social en botnet susceptible d'être utilisé pour mener un grand nombre d'attaques, ces derniers parlent de la responsabilité des fournisseurs de tels sites communautaires qui doivent être très rigoureux au niveau des APIs fournies afin de ne pas autoriser un trop haut niveau d'interaction avec le reste de l'Internet. Et de souhaiter un environnement d'exécution isolé.
Source :
InformationWeek
