Wenn soziale Netze sich gegen ihre Nutzer wenden

Anwendungen, die speziell für Social Networking-Plattformen geschrieben wurden, könnten sich bald als ideales Medium zur Verbreitung von Datenschädlingen erweisen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 5 Min.
Von
  • Erica Naone

Seit Facebook vor anderthalb Jahren die Tür für Anwendungen von Drittherstellern auf seiner Plattform aufgestoßen hat, nutzten bereits Millionen von Nutzern solche Miniprogramme, um Spiele zu spielen, Film- und Musik-Empfehlungen miteinander zu teilen oder ihren Freundeskreis mit Spaßsoftware wie dem inzwischen berühmt gewordenen "Zombie-Biss" zu unterhalten. Doch mit dem Wachstum der Popularität solcher so genannter "Apps" wächst auch die Sorge von IT-Sicherheitsexperten: Die Technologie könnte auch dazu eingesetzt werden, um die Infrastruktur der Social Networking-Anbieter zu missbrauchen. Deren wichtigste Stärken, der Netzwerk-Effekt und die schnelle Verbreitung von Anwendungen, könnten sich als ideale Methode zur Distribution von Schadcode erweisen.

Eine Anzahl von Forschungsprojekten demonstrierte in den letzten Monaten die möglichen Gefahren. Auf der "Information Security Conference" in Taiwan zeigten Experten von der griechischen Foundation for Research and Technology Hellas (FORTH) ein Experiment, bei dem die Gutgläubigkeit von Facebook-Nutzern für schwerwiegende Internet-Angriffe missbraucht wurde. Sie schufen eine Anwendung, die oberflächlich Bilder aus dem "National Geographic" auf der Profilseite des Users anzeigte, während im Hintergrund große Bilddateien von einem zu attackierenden Zielserver geladen wurden, ohne dass dies sichtbar war. Im Test stand diese Maschine bei der FORTH; im realen Leben ließe sich mit dem Trick nahezu jeder Rechner im Netz lahm legen, sollten genügend Facebook-Nutzer die Anwendung ausführen.

Elias Athanasopoulos, Forschungsassistent bei der FORTH und einer der Projektverantwortlichen, berichtet, dass die Wissenschaftler ohne jede Werbung innerhalb weniger Tage bereits 1000 Facebook-Nutzer zur Installation der Malware-Anwendung bewegen konnten. Sie verbreitete sich einfach von selbst aufgrund ihrer oberflächlichen Attraktivität. Der Angriff selbst war daraufhin zwar nicht besonders schwer, doch eine kleinere Website hätte er wohl niedergerungen. Mit wenigen Veränderungen am Code lasse sich der Schaden noch deutlich erhöhen, meint Athanasopoulos. Das Experiment setzte voll auf den offenen Zugriff, den Facebook-Apps erhalten. "Es ist sehr schwer, eine Plattform zu schaffen, die es Entwicklern gänzlich verbietet, andere Angebote im Internet zu attackieren."

Eine genauere Analyse einer weiteren Forschungsgruppe, die mehrere soziale Netzwerke abdeckte, gibt das Potenzial für Schadcode noch als deutlich größer an. Zwei IT-Security-Berater, Nathan Hamiel von der Hexagon Security Group und Shawn Moyer von Agura Digital Security, bauten kürzlich Malware-Beispielanwendungen für die Plattform OpenSocial auf, die von MySpace, hi5, der Google-Tochter Orkut und diversen anderen Social Networking-Anbietern verwendet wird. Eine dieser Demonstrationen, genannt "DoSer", sorgt für einen sofortigen Logout jedes Nutzers, der sich eine kompromittierte Profilseite ansah. "CSRFer" schickt wiederum nicht autorisierte Freundesanfragen. Laut Hamiel sind die Möglichkeiten bei weitem noch nicht ausgeschöpft. "Jeder kann die Netze missbrauchen und man kann nur wenig tun, um sie zu verteidigen." Das Problems: Die Apps ließen sich tief in einem sozialen Netzwerk verankern.

Zudem sei es schwierig für die Nutzer, überhaupt herauszufinden, was eine Anwendung eines Drittherstellers wirklich tue. "Eine Überprüfung ist aus User-Sicht kaum möglich", meint Roel Schouwenberg, Antiviren-Forscher bei Kasperky Lab in Belgien. Aus der Perspektive eines Sicherheitsprofis mache ihm das schwere Bauchschmerzen.

Soziale Faktoren spielten bei der Verbreitung von Malware über die Plattformen eine weitere wichtige Rolle, wie Sicherheitsforscher Hamiel sagt. Denn: Soziale Netzwerke versuchten stets, eine Atmosphäre des Vertrauens zu schaffen und die lasse sich erstaunlich einfach ausnutzen. So kursierte kürzlich Malware via Facebook, die sich als falsches Update für Flash tarnte, das von Freund zu Freund weitergeleitet wurde. "Der soziale Aspekt führte dazu, dass die Leute eine technische Dummheit begangen", sagt Hamiel.

Die Firmen hinter den Social Networking-Angeboten beginnen erst damit, sich verstärkt mit dem Thema Sicherheit zu beschäftigen. Kürzlich richtete Facebook eine Informationsseite zum Thema ein, auf der die möglichen Risiken geschildert werden. Dort steht auch, dass das Facebook-Sicherheitsteam sich bemühe, Löcher im eigenen Code aufzudecken, aber auch auf die Hilfe Dritter angewiesen sei, um darauf aufmerksam gemacht zu werden, "ob wir etwas verpasst haben".

Hamiel warnt, dass es nahezu unmöglich sei, alle Einfallsvektoren zu eliminieren. Besonders gefährlich: Ein Angreifer könne eine legitime "App" schreiben, darauf warten, dass sie viele Nutzer findet, und sie dann mit Hilfe eines Updates plötzlich zur Zeitbombe machen. Einschränkungen bei der Funktionalität solcher Programme sind keine echte Lösung, weil dadurch die Attraktivität sinkt. "Wir befinden uns in einer schwierigen Situation. Das Ziel sozialer Netzwerke ist schließlich, Kreativität und Kommunikation zu fördern. Wenn man zu restriktiv ist, schränkt man die Kernfunktion eines solchen Angebots ein. Es ist ein technisches Wettrüsten."

Eine effektivere Lösung wäre wohl, meint der griechische Forscher Athanasopoulos, Programmierer zu beschäftigen, die eingereichten Code genau untersuchen. Billig wäre das nicht – womöglich würde es das Budget mancher Social Networking-Firma sogar sprengen oder die Plattform-Arbeit zumindest deutlich unattraktiver machen.

Mit der zunehmenden Popularität sozialer Netzwerke erwartet IT-Security-Forscher Hamiel auch mehr Angriffe und mehr Schadcode. "Die Leute haben weniger Respekt für Software, die in ihrem Browser läuft, als für Programme, die sie herunterladen und installieren." In Zukunft müsse sich das möglichst ändern. (bsc)