一個研究小組已經開發了一個Facebook應用程序，他們稱之為概念證明型的“FaceBot”。該程序能夠輕易地將社交網絡用戶的機器變成傀儡機，并以此發動分布式拒絕服務攻擊（DDoS），以及其他惡意攻擊。

該概念證明型的facebot程序冒充成“Photo of the Day”（一個工具，在用戶的Facebook的網頁上每天展現一張來自國家地理雜志的不同照片。但除了提供了一張照片外，還提供了一個惡意軟件）將受害人的機器變成傀儡網絡中的一員。研究人員會在即將在臺灣舉行的信息安全會議上展示他們的研究結果。

FaceBot向世人表明，將日益流行的社交網絡應用程序武器化是多么的簡單，此外，人們既然可以分為Facebook撰寫這樣的應用程序，那么同樣也可以為其他社交網站編寫這樣的惡意應用。安全專家已經警告說，OpenSocial等社交網絡平臺是社交網絡中最薄弱的環節之一。據Facebot的研究人員稱，目前有超過15000種Facebook應用程序供用戶使用。

有趣的是，盡管研究人員并沒有通過Facebook來邀請用戶下載此程序，但仍在短短幾天內就設法吸引約1000用戶下載了facebot。他們只對研究小組成員宣布了該軟件，并請他們轉達給其他同事。顯然，該軟件是從那里蔓延到其他Facebook的用戶的。

該應用程序的工作機制基本如下：當用戶點擊該應用程序時，它會顯示一個國家地理圖片，并在受害者不知情的情況下將其機器變成BOT，并且向其他受害者的機器發送600k字節的HTTP請求，并命令傀儡機攻擊在研究者的實驗室中的某些電腦。

“我們已經證明，位于社交網絡中的應用程序可以迅速吸引大量用戶，通常達到以百萬計的用戶，然后將這些用戶被重定向到受害者主機以發動攻擊”，研究者在他們的文獻中寫道，“我們的實驗表明這些用戶具有高度的分散性，通常會遍布全球。”

研究人員警告說，現實的危害可能比他們的實驗所表明的更為嚴重，因為他們已經對其應用程序做了相應的設置，以對攻擊流量進行限制，但“壞人”卻沒有這么心慈手軟：“對手可以采用更高級的技術，并創建JavaScript片段不斷向受害者的主機請求各種文檔。這樣會使攻擊性顯著提高”他們在研究論文中寫道。

DDoS只是Facebook的應用程序可以進行的攻擊中的一種而已，研究人員說，其他可能的攻擊包括主機掃描、惡意軟件傳播，和挫敗基于Cookie的身份驗證等等。此外，這種惡意程序還可以對Facebook的成員發動有針對性的攻擊，搜集安裝該應用程序的用戶的個人信息，研究人員寫道。