我对2008年的预测之一(2007年12月4日)Facebook将通过它的开放式平台攻击,使人们能够为其编写小部件。
1. Facebook小部件将用于分发恶意软件。Facebook,拥有数百万用户的非常受欢迎的社交网站最近介绍了用户创建和发布小型应用程序,小部件的能力。这些应用程序可能是任何事情。我见过一个,要求你在“热或不”的方式中比较你的朋友。另一个,一个简单的游戏,是拼字游戏的公然撕裂。Facebook托管这些应用程序并使用户可以与它们共享和交互。2008年,我们将看到尝试通过这些小部件利用Facebook。它可能是在现有应用程序中的漏洞,例如可以允许下载恶意木马。或者,它可能是部署到窃取信息或感染访客计算机的新应用程序。
这是出现的2008年1月3日当发现“秘密粉碎”小部件正在安装恶意Zango应用程序时。(更新。秘密粉碎只是让人们安装Zango。它没有直接安装它。由于180次更正。)
“秘密粉碎”小部件表明有人对收件人秘密粉碎并找出他/她必须安装小部件和哦,顺便说一句,请邀请五个朋友这样做。窗口小部件然后继续安装我们所有人所知道和爱的Zango恶意软件。(请记住zango已安装通过myspace视频还的)
Ernst and Young的研究员开发了一个聪明的GIF图像混合动力,并且被称为GIFAR的Java存档,这可以可以想地上传到允许文件上传的任何网站,然后是任何“查看”的网站,并同时记录在他们的Facebook,MySpace或Flickr帐户中可以将其凭证被盗。kudos to.nate mcfeters.用于发现/展示这种复杂的攻击。他本周在Blackhat展示了他的技术,通常令人沮丧的“关键要素”。换句话说,刚刚遗漏了,所以坚定的黑客可以弄清楚,但Facebook和MySpace的开发人员将在部署工作漏洞之前努力奋斗。Nate建议Web应用程序网站应该是过滤上传,以防止Gifars部署,尽管他声称这将非常难以理解。我确实希望内容过滤和Web应用程序防火墙供应商正在使用简单的工具来实现这一目标。
Nate指出,这不是Facebook-MySpace问题,它对允许映像上传的所有站点都是如此。嗯,这是所有博客。我们正在谈论数亿个网站。在许多网站固定之前,这将是很长一段时间(从不)。
与此同时,为只需使用的Web准备一下。