På det populære sociale netværk Facebook er der adgang til en lang række små applikationer, som tilføjer forskellige funktioner eller nyt indhold til Facebook-profilen. De små programmer kan udvikles af alle og derefter publiceres på Facebook. Men der er grund til at være på vagt. For nogle af applikationerne er kun skabt for at sprede adware eller spyware.
Selvom koden ikke nødvendigvis i sig selv behøver at være skadelig, så kan links fra programmerne og de data, som indsamles, hurtigt give sikkerhedsmæssige problemer. For programmerne opnår adgang til brugerens profil og dermed er der f.eks. risiko for, at der masseudsendes beskeder til alle venner.
Det seneste eksempel er en tvivlsom Facebook-applikation kaldet »Error Check System«. Det danske sikkerhedsfirma CSIS fortæller at programmet blev lanceret i fredags gennem Facebooks eget applikationsnetværk. Det er ikke Facebook selv, der står bag programmet. Der er tale om en portal, hvor andre udviklere kan stille deres add-ons til Facebook til rådighed.
»Error Check System« er et af de programmer, man skal holde sig langt væk fra. Når brugeren har accepteret at give programmet adgang til sine profildata på Facebook, sender det sig selv til ens »venner« og fortæller dem, at der er opstået en fejl på deres profil. De bliver så ligeledes opfordret til at aktivere programmet, og på den måde spreder sig nærmest som en virus.
I realiteten er der tale om det rene fup. Der er ikke nogen fejl i profilen og programmet er heller ikke i stand til at rette en sådan fejl, hvis den skulle optræde.
»Selve applikationen indeholder funktioner, som kan gøre udvikleren af dette program i stand til at sende beskeder direkte til brugere der har accepteret applikationen. Programmet har også, da det blev aktiveret, opnået adgang til brugerens profil med risiko for dataindsamling af potentielt private data. Der åbnes således også for risiko for langt værre og mere målrettede angreb igennem denne type skræddersyede Facebook applikationer,« skriver CSIS i sin advarsel.
Firmaet anbefaler, at man bør undlade at aktivere programmer hvis indhold man ikke kender eller har tillid til.
Den seneste sag understreger, at man ikke kan være sikker på om der er tale om legitime programmer, blot fordi de bliver publiceret gennem den officielle Facebook-portal.
Og det er langt fra det første eksempel på, at Facebook bliver brugt til at sprede skadelige programmer. Et program kaldet »Secret Crush« lokkede sidste år med at afsløre din hemmelige beundrer hvis du inviterede mindst fem andre Facebook-brugere til at installere programmet. Her var der selvfølgelig tale om fup, og brugerne blev i stedet ledt videre til et eksternt website, der forsøgte at installere adware.
Flere sikkerhedsforskere udviklede sidste år en Facebook-applikation, som indlemmer brugerens maskine i et botnet. Denne demonstration skulle vise, hvor let det er at udnytte Facebook til at sprede skadelig kode. Programmet var maskeret som et lille værktøj kaldet Photo of the Day, der hentede billeder fra National Geographic, og selv uden markedsføring blev programmet installeret af 1.000 brugere i løbet af få dage.
Der er også afsløret flere sikkerhedshuller i Facebook, som har gjort det muligt for uvedkommende at få adgang til private profildata. Facebook informerer selv om de mest almindelige sikkerheds-problemer på denne side.
Premium
Danmarks to store it-styrelser skal reduceres markant: Skal samlet sige farvel til hver fjerde stilling i de kommende år