úno 10 25

Ahoj, jsem tvůj trojský kůň na Facebooku

Datum a čas	čtvrtek 25. února 2010, 10:46
Tagy	facebook webdesign
Komentáře	12 (přejít na komentáře, přidat nový, sledovat pomocí RSS)
Přečteno	29587×
Popis	Taky už vám na Facebooku vyskočila notifikace o novém komentáři, která ovšem vedla do aplikace? Vítejte v databázi!

Původně tyto trojské koně vyskakovaly v notifikacích s cílem zaujmout (srdíčka…), poslední dobou přecházejí na kopírování hlášek Facebooku a daří se jim to. Nedávno to byla například aplikace Photas, před pár dny pak nějaká jiná, která kopírovala přesně hlášku Facebooku (druhý screenshot). Aplikace pak mají přístup k vašim údajům i údajům kamarádů (a nikdo nemůže tušit, co s nimi dělají) a šíří se dál. Nejde přitom ani o nějakou bezpečnostní chybu Facebooku, spíše vlastnost, jak se dá přistupovat k informacím z profilů a využívají toho i seriózní aplikace (tedy na kolik seriózní jsou aplikace jako "statistika o kamarádech" :)).

Facebook trojský kůň Photas

Jak poznat podvodnou aplikaci?

Špatně. Nevím, jak vy, já jsem už docela dobře vycvičený proti rhybaření, ale u notifikací na Facebooku jsem si zatím pořád nezvykl čekat něco pochybného. Zvláštním znamením je, máte-li Facebook v češtině a objeví se notifikace v angličtině. Facebook má ale pořád s lokalizacemi potíže, na mobilu mám každou chvíli hlášky jako „Máte 2 requests.“ a podobně (už ani nevnímám, jak jsou divné). Takže angličtina jako rozlišovací pravidlo nepomůže.

Pokud se ale z notifikace slibující komentář u fotky dostanete na tlačítko pro povolení aplikace, rozhodně nejde o komentář.

Zrovna na tomto screenshotu použil autor Facebook aplikace službu bit.ly (zkracovač URL), která ukázala varování, většinou ale vede odkaz přímo do aplikace (tedy Facebookovské „Povolte přístup aplikaci...“)).

Facebook trojský kůň - varování

Co když už jsem aplikaci povolil přístup?

Asi už nic. Můžete aplikaci odebrat, tím rozhodně nic nezkazíte, nedostane se pak k vašemu profilu. Pokud si ale stáhla nějaké údaje, už je nesmažete.

Co mi může aplikace udělat?

Je samozřejmě možné, že se aplikace jen šíří dál. Vzhledem k tomu, že jakmile potvrdíte aplikaci přístup, může se dostat k velkému množství informací (viz dále), byla by z pohledu tvůrce jistě škoda je nevyužít. Nemusíte se ale bát o opravdu důvěrné údaje jako je e-mail, kterým se přihlašujete, či číslo kreditní karty (tu budou mít na Facebooku asi jen uživatelé, co využivají reklamu). Stejně tak pro přístup ke zdi (nebo publikování na ní) je potřeba speciální oprávnění, které by ukázalo nové dialogové okno.

Jak si takovouto aplikaci napsat?

Rozhodně tu neuvěřejním funkční kód, který by se dal jen nahrát na server a změnit API key :). Hodí se ale pro pochopení, jak funguje; předpokládám, že takto nějak pracují tyto trojské koně. Nejjednodušší řešení by asi bylo použít PHP a Facebook knihovnu.

1. Přijde uživatel, aplikace si zkontroluje podle jeho user_id (číslo), jestli už v ní byl. Pokud ne, musí zjistit jméno uživatele kvůli hlášce „X Y okomentoval vaši fotku“. Stačí využít Users.getInfo .
2. Když už je aplikace v tom sbírání dat, proč si o tom člověku nestáhnout další údaje – pohlaví, koníčky, oblíbené knihy, filmy, věk, pořady v televizi, klidně i profilovou fotku, odkaz na web, údaje o tom, kde pracuje…
3. Seznam kamarádů – seznam user_id jeho kamarádů lze zjistit jednoduše, FQL dotazem (FQL = upravený SQL jazyk pro potřeby Facebooku). Teoreticky by nebylo nutné si seznam kamarádů ukládat, ale byla by škoda toho nevyužít. Díky tomu, že uživatel autorizoval aplikaci, důveřuje ji a nechává ji možnost kontaktovat kamarády. Tím se právě aplikace šíří a pokud si zapamatuje user_id kamarádů, vytváří si tak velký seznam lidí, kterým může napsat i do budoucna. Pro posílání notifikací slouží Notifications.send.
4. Když už je takto aplikaci důvěřováno, může si stáhnout údaje i o kamarádech – opět jména, pohlaví, koníčky, knihy…
Znamená to tedy, že reálně mohou být vaše údaje někde zkopírovány, aniž byste aplikaci vy povolili. Stačí mít nepozorného kamaráda. (Nechtěl jsem napsat přímo tupého, chtít po každém z milionu českých uživatelů, aby chápal dopodrobna smysl aplikací, je nemožné a nedělá to z člověka automaticky idiota.)

Pokud by se vám zdálo, že to je trochu přehnané, podívejte na následující screenshot. Zkusil jsem u obyčejné aplikace bez nějakých speciálních povolení, ať vypíše údaje o kamarádech (ti ji nepoužívají). Myslím, že byla poměrně úspěšná. Na ukázce se k údajům přistupuje v PHP, takže místo echo lze snadno použít INSERT INTO.

Informace o kamarádech, ke kterým se aplikace dostane, aniž by byla jimi autorizována:

Co proti tomu?

Největší ránu zasadí těmto aplikacím přímo Facebook – v nejbližších dnech přestanou notifikace fungovat v té podobě, jak fungují teď. Do budoucna by snad měla mít každá aplikace svoje vlastní (resp. počítadlo, které bude ukazovat, že se v ní něco děje, viz Dashboard API, Counters). Přes žádosti se asi tak úspěšně šířit nemohou, protože uživatel vidí, že odesílá žádost někomu a vidí její text a musí jí potvrdit. Možná tvůrci vymyslí něco nového.

K čemu kopírovat si Facebook?

Nejsem si ale moc jistý jaký smysl má kopírovat data z Facebooku. I když to zní nesmyslně (vždyť to jsou ta data, co dělají z Facebooku to, co je), představte si, že jste napsali takovouto aplikaci, ta se pár hodin šířila a vytvořila vám databázi lidí, jejích fotek, čísel profilů, měst, věku… Vaše aplikace nakonec asi skončí dříve či později zablokovaná pro spam/porušení podmínek…, data o uživatelích vám ale nikdo nevezme. Ale jak je můžete využít?

Nabízí se krásně reklama – všichni muži 30–50 z USA, stav svobodný > „Kupte si ruskou nevěstu v krabici! FREE SHIPPING!“. Ale rozumně tu reklamu k uživatelům nedostanete. Založíte si novou aplikaci (ta sbírací je blokovaná), jenže tato nová aplikace nemá autorizace od uživatelů, které měla ta sbírací. Takže nejspíš ani notifikací moc nepošlete a e-maily neznáte. Můžete ty lidi „obcházet“ ručně. Znáte user_id, které dosadíte do URL http://www.facebook.com/profile.php?id= a vidíte profil uživatele. Už to je ale hromada práce, nutnost zakladání falešných uživatelů…

Nebo k čemu se může hodit stahovat si Facebook? :)

Článek je inspirován dřívejšími zkušenostmi s vývojem FBML aplikací (posbíraných převážně z wiki) a snahou vysvětlit kamarádům, ať už na to neklikají. A také včerejší přednáškou Štěpána Bechynského z Microsoftu, hlavně upozorněním, jak moc můžou aplikace i k údajům kamarádů.

Mr. Bean

A ještě jeden dnešní FB podvod - JESTLI BY MR.BEAN HRÁL VE FILMU AVATAR, TAK BY VYPADAL TAKTO ! Docela mě překvapilo, že se tolik kamarádů stává fanoušky. Vysvětlení je prosté - nestávají. Stačí kliknout na tlačítko "Zobrazit v plné velikosti", které jako by nic neudělá. Ale právě jste se stali fanoušky.

Facebook: falešné tlačítko

čas	počet fanoušků
čt 25., 12:00	27 170
čt 25., 12:02	27 458
čt 25., 12:05	28 027
čt 25., 19:20	93 267
čt 25., 22:20	117 075
pá 26., 13:00	141 217
pá 26., 17:00	158 677
so 27., 17:00	skupina byla Facebookem smazána

Díky stránce Nemáme rádi viry za odkaz na tento článek.

Nemameradiviry.cz

neděle 25. února 2010, 10:46 - 29587× shlédnuto - RSS komentářů - tagy: facebook webdesign

, Follow @elfineer

Nepřehlédněte

Fotky z Facebooku do médií (26. 06. 2016)
Až jednou uvidíte svou fotku na ČT24.
Děláte Facebookem ostudu zaměstnavateli? (18. 04. 2011)
Při správném pohledu se na zpravodajském serveru vyjadřujete za firmu.
Nové Facebook stránky (10. 02. 2011)
Konec tabů, nově: notifikace, jiné řazení příspěvků, náhledy fotek. FBML zůstává.
Přidání Facebook údajů k datům z Google Analytics (05. 02. 2011)
S pomocí freewarového udělátka můžete hromadně zjistit počty palců a sdílení.
Facebook v TV reportáži 60 minutes (06. 12. 2010)
Převážná většina byla o nových profilech, padly i zmínky o filmu.

codeas - čtvrtek 25. února 2010, 13:01 - web - #

Super článek, něco jako investigativní blogger, který přijde na něco zajímavého. Chápu to dobře že skupina MR.BEANA je tvoje? Jinak ano, většina mých kamarádu (non IT) bohužel klíkají ne všechny skupiny, které jsou dlouhé aspoň jako,,krátké souvětí". A taky trochu začínám litovat že jsem do MS nešel :(

fiso - čtvrtek 25. února 2010, 15:52 - #

Ta fan page je celkom premyslena. Ked sa uz niekto stane fanusikom, a chcel by to potom zrusit, tak si autori vymysleli peknu habaduru: odkazy na zrusenie vedu na adresu na pridanie. Zrusit sa to da len tak ze si v prehliadaci napisete spravnu adresu :)

elfineer - čtvrtek 25. února 2010, 19:21 - web - #

@codeas diky za pochvalu / nn, stranka (ani zadna ta aplikace (photas ci ta 2.) ) moje neni, o te strance jsem psal, ze zajimave (i kdyz spatne :) ) vyuziva static FBML

RSS

Datum