#1 17. Oktober 2008 Seit Facebook vor anderthalb Jahren seine Social Networking-Plattform für Anwendungen von Drittherstellern geöffnet hat, nutzten bereits Millionen von Nutzern solche Miniprogramme, um Spiele zu spielen, Film- und Musik-Empfehlungen miteinander zu teilen oder ihren Freundeskreis mit Spaßsoftware zu unterhalten. Doch mit zunehmender Popularität solcher so genannter "Apps" wächst auch die Sorge von IT-Sicherheitsexperten, berichtet das Technologiemagazin Technology Review in seiner Online-Ausgabe. Sie fürchten, dass die Technologie auch dazu eingesetzt werden könnte, die Infrastruktur der sozialen Netzwerke für Internet-Angriffe im großen Stil zu missbrauchen. Eine Anzahl von Forschungsprojekten demonstrierte in den letzten Monaten die möglichen Gefahren. Auf der "Information Security Conference" in Taiwan zeigten Experten der griechischen Foundation for Research and Technology Hellas (FORTH) ein Experiment, bei dem die Gutgläubigkeit von Facebook-Nutzern missbraucht wurde, um Websites lahm zu legen. Sie schufen eine Anwendung, die oberflächlich Bilder aus dem "National Geographic" auf der Profilseite des Users anzeigte, während im Hintergrund große Bilddateien von einem zu attackierenden Zielserver geladen wurden, ohne dass dies sichtbar war. Im Test stand diese Maschine bei der FORTH; im realen Leben ließe sich mit dem Trick nahezu jeder Rechner im Netz angreifen, sollten genügend Facebook-Nutzer die Anwendung ausführen. Elias Athanasopoulos, Forschungsassistent bei der FORTH und einer der Projektverantwortlichen, berichtet, dass die Wissenschaftler ohne jede Werbung innerhalb weniger Tage bereits 1000 Facebook-Nutzer zur Installation der Malware-"App" bewegen konnten. Sie verbreitete sich einfach von selbst aufgrund ihrer oberflächlichen Attraktivität. Der Angriff selbst war daraufhin zwar nicht besonders schwer, doch eine kleinere Website hätte er wohl niedergerungen. Mit wenigen Veränderungen am Code lasse sich der Schaden noch deutlich erhöhen, meint Athanasopoulos. Das Experiment setze voll auf den offenen Zugriff, den Facebook-Anwendungen erhielten. Aber nicht nur Facebook ist betroffen: Ähnliche Experimente führten Forscher auch mit der von Google angeführten "OpenSocial"-Plattform durch, die sich auch bei Teenager-Netzwerk MySpace findet. Die Firmen hinter den Social Networking-Angeboten beginnen erst damit, sich verstärkt mit dem Thema Sicherheit zu beschäftigen. Kürzlich richtete Facebook eine Informationsseite zum Thema ein, auf der die möglichen Risiken geschildert werden. Dort steht auch, dass das Facebook-Sicherheitsteam sich bemühe, Löcher im eigenen Code aufzudecken, aber auch auf die Hilfe Dritter angewiesen sei, um darauf aufmerksam gemacht zu werden, "ob wir etwas verpasst haben". Eine effektivere Lösung wäre wohl, meint der griechische Forscher Athanasopoulos, Programmierer zu beschäftigen, die eingereichten Code genau untersuchen. Das geschehe in vielen Fällen nur oberflächlich. Zudem sei es schwierig für die Nutzer, überhaupt herauszufinden, was eine Anwendung eines Drittherstellers wirklich tue. "Eine Überprüfung ist aus User-Sicht kaum möglich", meint Roel Schouwenberg, Antiviren-Forscher bei Kasperky Lab in Belgien. Mehr zum Thema in Technology Review online: Wenn soziale Netze sich gegen ihre Nutzer wenden quelle: heise online + Multi-Zitat Zitieren