“社交僵尸”窃取个人隐私信息

在ACSAC最近的会议上，研究者们展示了一种可以窃取个人信息的程序。通过模拟真实的Facebook用户的“社交僵尸”程序，研究者们可以从Facebook上获取大量的个人隐私信息。“社交僵尸”不仅被研究者使用，同时正逐渐地被互联网犯罪集团发现和使用，并已经在网上出现程序的买卖，最便宜的“社交僵尸”程序只要29美元。Facebook表示这项研究是越界和不道德的。“社交僵尸”是犯罪分子广泛使用的僵尸网络向社交网络进化的产物。

交朋友

在传统的僵尸网络中，一名高智商的犯罪分子远程控制着一组被病毒感染的计算机组成的网络，通常这名犯罪者会从受害者的机器中窃取数据或者利用这些机器发送垃圾邮件和执行攻击。

让“社交僵尸”不同的是它将自己化身为一名真正的Facebook用户。僵尸程序会为自己设置一个看似真实的社交网络用户，并执行发送消息和回应请求这些基本的操作。来自温哥华的英属哥伦比亚大学的四名研究员在实验中建立了102个“社交僵尸”以及一个僵尸的控制者。研究员让这些僵尸工作了大约8个礼拜，在这期间，总共向8750名Facebook用户发出交友请求，并成功地和其中3055名用户建立了朋友关系。研究者发现，如果你在Facebook上的好友越多，就越容易被接受，这些“假”的用户在建立了一定数量的朋友关系后，很容易被接受成为好友。为了防止被Facebook的恶意行为检测算法发现这些僵尸发送的大量好友请求，这些程序每天只会发出25个申请好友请求。

欺骗

“社交僵尸”通过他们交上的朋友的档案，可以再访问这些朋友的朋友，并逐渐渗透到更庞大的朋友网络中，根据研究员宣布的数据，他们一共“窃取”了46500个邮件地址和14500个家庭住址。

在ACSAC年会上发表的这篇论文中，研究者写到：“当‘社交僵尸’感染了作为目标的社交网络，他们就可以获得大量的用户私有信息，如邮件地址、电话号码以及其他有经济价值的个人数据。”

“对于攻击者而言，这些数据可以用于在线身份刻画、大规模垃圾邮件传播和进行钓鱼攻击。”

Facebook的发言人则认为这个实验的结果并不真实，因为攻击者的IP地址都来自于可信的大学，如果IP地址来自真实的犯罪者，早就会引发Facebook安全系统的警报。同时Facebook其实已查禁了研究者的大多数伪账号。

Facebook发言人说：“我们设计了很多系统来检测虚假的账号，并防止用户信息的泄漏，我们一直在更新系统来提高检测的效率，并解决新的攻击。我们对学术界的研究成果也作为我们系统中的一环，我们对英属哥伦比亚大学的研究方法很关注，并会向他们表达这种关注。此外，我们一如既往地鼓励人们尽量只和他们在现实社会中认识的人建立联系，并及时向我们报告他们在网站上看到的任何可疑的行为。”

道德

研究者们认为真实世界中类似的恶意攻击行为的成功率可能达到80%，他们总结认为，现实社交网络的安全防御措施例如Facebook的免疫系统不足以有效地阻止大规模渗透情况的发生。

“我们相信社交网络中的大规模渗透只是未来大量网络威胁中的一个，对它的防御是拥有上百万在线用户的社交网站抵御攻击的第一步。”

Facebook安全部门的咨询师咨询师Sophos Graham Cluley认为这些攻击很有趣，他说：“很显然Facebook的用户该学会如何小心地在Facebook上选择自己的朋友，并小心地共享自己的信息。”

但他同时也质疑这样的实验研究在道德上该如何判断，“Facebook的安全团队不喜欢大学研究人员这种类型的实验研究，在用户们注册时Facebook就在服务条款中告知：不允许使用虚假的身份来建立账号，应该使用真实的名字。同时只有在他人允许的情况下才能收集他人的信息。”

（编译：杨望）