Укорачиватели URL
как bit.ly, goo.gl, tinyurl и ow.ly отлично подходят для облегчения обмена ссылками; вам не нужно вставлять действительно длинный, уродливый URL-адрес в окно чата или электронное письмо, чтобы помочь кому-то найти свой путь на страницу, на которую вы хотите, чтобы он попал. Но недавнее исследование показало, что это удобство может принести значительную стоимость вашей безопасности.
Учеба
В течение 18 месяцев два исследователя из Cornell Tech изучали сокращенные URL-адреса, созданные двумя различными службами: Microsoft OneDrive и Google Maps. Обе службы создают укороченные ссылки для обмена веб-страницами (OneDrive использует их для совместного доступа к документам, а Google Maps использует их для обмена указаниями или местоположениями).
Из-за небольшого количества символов, используемых в этих укороченных ссылках, исследователи смогли использовать атаку методом грубой силы, чтобы найти укороченные URL-адреса, связанные с реальными документами. Исследователи проанализировали 100 000 000 битовых URL-адресов со случайно выбранными токенами из шести символов (например, «1maQ2JZ»). 42% всех токенов были преобразованы в фактические полные URL-адреса, и почти 19 500 из них привели к документам OneDrive.
Исследователи также обнаружили почти 24 000 000 живых ссылок при сканировании токенов из пяти символов, ранее использовавшихся goo.gl/maps, около 10% из которых были предназначены для направления движения.
Получить доступ к документам OneDrive и указаниям на Картах Google достаточно плохо, но исследователи обнаружили, что они могут сделать еще больше с информацией, которую они восстановили по этим ссылкам. Например, проанализировав стандартную структуру URL-адресов OneDrive, они смогли перемещаться и получать доступ к нескольким учетным записям OneDrive, многие из которых, по их мнению, были фактически доступны для записи, то есть они могли изменять файлы или загружать вредоносные программы, которые будут автоматически загружаться в компьютер владельца.
А с Google Maps исследователи обнаружили много информации, которую люди, вероятно, хотели бы сохранить в тайне. Просматривая адреса по месту жительства, они могли сделать обоснованные предположения относительно того, в какие домохозяйства входит человек, который посещал специализированные клиники для лечения, центры лечения наркомании, стриптиз-клубы и поставщиков абортов. Было показано, что информация о местоположении очень ценна
в получении идентифицирующей информации для отдельных лиц, и эта информация в сочетании с некой сокращенной историей путешествий может быть очень полезна для воров.
Если вы хотите увидеть полную опубликованную статью, вы можете проверить ее на arXiv, и один из исследователей также опубликовал пост в блоге с полезным резюме.
Сделанные изменения
Исследователи Cornell Tech поделились своими результатами с Microsoft и Google, и обе компании предприняли шаги, чтобы уменьшить вероятность того, что их пользователи могут быть скомпрометированы сокращенными URL-адресами.
Сокращение URL было удалено из интерфейса OneDrive, и метод, используемый для получения дополнительной информации об учетной записи пользователя, больше не работает (несмотря на отрицание Microsoft, что их изменения имели какое-либо отношение к этому отчету или что исследование даже выявило уязвимость безопасности). Однако старые укороченные ссылки остаются уязвимыми.
В Картах Google теперь используются токены из 11 и 12 символов вместо предложенных ранее из пяти символов, что значительно затрудняет их обнаружение с помощью атаки методом грубой силы. Google также усложнил одновременное сканирование огромного количества URL-адресов.
Будьте осторожны
Несмотря на то, что эти две службы предприняли шаги для уменьшения угрозы, вероятность появления новых уязвимостей в процессе сокращения ссылок, вероятно, будет обнаружена в будущем (все более и более мощные компьютеры).
конечно поможет). Когда я недавно проверил, используют ли популярные службы сокращения небольшое количество символов в своих токенах, как ow.ly, так и tinyurl имеют токены из шести символов, а bit.ly использует семь.
Хотя оба они лучше, чем предыдущие пять, Google по-прежнему обеспокоен тем, что люди могут отправлять доступ к важным файлам или личной информации таким образом. Исследователи Cornell Tech продемонстрировали, что простое сканирование этих URL-адресов методом «грубой силы» может выявить удивительное количество информации о конкретных пользователях, в том числе несколько наиболее важных фрагментов информации для кражи личных данных.
,
Итак, что нужно делать? Чтобы быть в полной безопасности, просто не используйте сокращатели URL для чего-либо, что может быть ценно для хакера, похитителя личных данных или другого злоумышленника. Укорачивающие устройства действительно полезны, но в большинстве случаев длинный URL будет работать просто отлично. Он большой, некрасивый и занимает много места в окне электронной почты или чата, но при этом гораздо безопаснее.
Также имейте в виду, что многие другие сервисы предлагают сокращение URL, и вы можете быть осторожны с ними. То, как каждая из этих служб обрабатывает разрешения с укороченными URL-адресами, может отличаться, но если вы случайно предоставили доступ к Flickr, Google Фото, Google Drive, Twitter, Facebook или другим сообщениям, трудно понять, что произойдет.
Если у вас есть возможность сократить URL-адрес токеном длиной более шести или семи символов, вам следует воспользоваться им. Исследователи в своей статье утверждают, что токены из 11 и 12 символов, используемые в Картах Google, не могут быть использованы методом подбора (по крайней мере, при использовании современных технологий и разумных усилий), поэтому, по крайней мере, стремление получить как минимум 10 — хорошая идея.
Или просто сделайте свое собственное сокращение URL
и убедитесь, что он использует достаточно символов в своих токенах URL!
Используете ли вы URL Shorteners?
Сокращение услуг, похоже, становится все более популярным, и регулярно появляются новые сервисы. Ограничение в 140 символов в Twitter и сложность работы с длинными строками текста на мобильных устройствах
вероятно, способствовали их полезности, и возможность отправлять ссылку в гораздо более удобном для просмотра формате, безусловно, привлекательна. Нет никаких оснований утверждать, что они очень удобны, но удобство может не стоить риска.
Используете ли вы услугу сокращения URL? Какой из них вы используете? Используете ли вы его для конфиденциальных документов или просто для общедоступных ссылок? Вы сейчас беспокоитесь о безопасности своих ссылок? Поделитесь своими мыслями ниже!
Изображение предоставлено: Георгиев и Шматиков через arXiv.
