Ein bedrohliches Facebook-Google-Mashup

Informatiker haben gezeigt, dass die Funktionalität, die viele Websites Entwicklern zur Verfügung stellen – damit sie leistungsstarke Webanwendungen erstellen können – auch auf potenziell schändliche Weise kombiniert werden kann.

Ein Team der University of California, San Diego, nutzte APIs (Application Programming Interfaces) von Google und Facebook, um ein System zu entwickeln, das es einer Person ermöglicht, anonym im Web zu surfen. Die Forscher, die die Arbeit in dieser Woche präsentieren werden Usenix-Sicherheitskonferenz in Bellevue, Washington, sagen, ein solcher Dienst könnte es Cyber-Gaunern möglicherweise ermöglichen, ihre Spuren zu verwischen.

Unsere Absicht ist es, dass die Dienste dieses Problem anerkennen, sagt Jiaqi Zhang , Doktorand in Informatik an der UCSD und Mitglied des Teams. Wir hoffen, dass sie, wenn sie unsere Arbeit sehen, versuchen werden, etwas zu tun, um ihre Dienste zu verteidigen, damit sie nicht darunter leiden und andere nicht darunter leiden.

Andere Forscher haben gezeigt, wie eine API auf unbeabsichtigte Weise verwendet werden kann, um beispielsweise ein Gmail-Konto in eine Online-Festplatte zu verwandeln. Doch die UCSD-Forscher sind die ersten, die mehrere Dienste auf diese Weise kombinieren.

Der Anonymisierungsdienst der Forscher namens CloudProxy verwendet Google-Dienste zum Speichern von Webinhalten – vier Google Docs-Konten mit jeweils 10 Tabellenkalkulationen wurden verwendet, um ASCII-Daten von Websites zwischenzuspeichern. Nicht-ASCII-Inhalte wurden mit einem anderen Google-Dienst gespeichert. Sie verwendeten auch einen Facebook-Webdienst, um ihre Webanfragen korrekt zu formatieren, und den URL-Kürzungsdienst von Google, um Anfragen zu erstellen, die problemlos in die anderen Webdienste eingespeist werden konnten.

Die Forscher testeten den Dienst, indem sie eine Vielzahl von Inhalten von verschiedenen Websites luden und dann ein Netzwerk-Capture-Programm, WireShark, verwendeten, um zu bestätigen, dass den Anfragen keine identifizierenden Informationen entnommen werden konnten.

Mike Geide, Senior Security Researcher bei einem Web-Sicherheitsanbieter Zscaler , sagt, dass die Technik besonders schädlich sein könnte, da viele Web-Sicherheitstechnologien davon abhängen, bösartige Websites zu erkennen und zu blockieren. Niemand würde den Verkehr von Google oder Facebook blockieren, bemerkt er.

Was Sie am Ende des Tages verlangen, ist, die Absicht der Aktivität zu bestimmen, sagt er. Google muss mit Facebook reden, denn so funktioniert das Web. Wie bestimmen Sie also die Absicht dieser Anfragen?

Die Gewährung der Anonymität von Internetnutzern ist nur ein mögliches Szenario. Zhang von UCSD fügt hinzu, dass Google, Facebook und andere Webdienste die Auswirkungen eines Angriffs erheblich verstärken könnten und möglicherweise dazu beitragen könnten, eine Zielwebsite oder einen Computerserver bei einem Denial-of-Service-Angriff offline zu schalten. Google verfügt über viele Ressourcen und Bandbreite. Wenn ein Hacker also einen Google-Dienst nutzen kann, muss er kein Zombie-Netzwerk aufbauen, sondern kann Google einfach für einen Denial-of-Service-Angriff verwenden, sagt Zhang.

Mark O’Neill, Chief Technology Officer des Cloud-Sicherheitsanbieters Vorteil , sagt, dass Webdienstanbieter in der Lage sein sollten, Schutzmaßnahmen zu ergreifen, um den Missbrauch ihrer APIs zu erschweren. Durch die Untersuchung von Nutzungsmustern, sagt er, könnte ein Dienst Benutzer erkennen, die versuchen, APIs auf neue Weise auszunutzen.

verbergen