Сокращенные ссылки ставят под угрозу вашу безопасность?

Реклама

Укорачиватели URL Попробуйте 10 различных URL-сокращений, которые дают вам дополнительные преимуществаНасколько иначе вы можете сократить унифицированный указатель ресурса? Ну, система укорачивания - это, в общем-то, заурядная работа, но, похоже, хитрость заключается в дополнительном оборудовании, которое идет вместе с услугой сокращения ... Читать далее как bit.ly, goo.gl, tinyurl и ow.ly отлично подходят для облегчения обмена ссылками; вам не нужно вставлять действительно длинный, уродливый URL-адрес в окно чата или в электронное письмо, чтобы помочь кому-то найти страницу, на которую вы хотите, чтобы он попал. Но недавнее исследование показало, что это удобство может стоить вашей безопасности.

Изучение

В течение 18 месяцев два исследователя из Cornell Tech изучали сокращенные URL-адреса, созданные двумя различными службами: Microsoft OneDrive и Google Maps. Обе службы создают укороченные ссылки для обмена веб-страницами (OneDrive использует их для совместного доступа к документам, а Google Maps использует их для обмена указаниями или местоположениями).

Из-за небольшого количества символов, используемых в этих укороченных ссылках, исследователи смогли использовать атаку методом грубой силы, чтобы найти укороченные URL-адреса, связанные с реальными документами. Исследователи проанализировали 100 000 000 битовых URL-адресов со случайно выбранными токенами из шести символов (например, «1maQ2JZ»). 42% всех токенов были преобразованы в реальные полные URL-адреса, и почти 19 500 из них привели к документам OneDrive.

Исследователи также обнаружили почти 24 000 000 живых ссылок при сканировании токенов из пяти символов, ранее использовавшихся goo.gl/maps, около 10% из которых предназначались для направления движения.

Получить доступ к документам OneDrive и указаниям на Картах Google достаточно плохо, но исследователи обнаружили, что они могут сделать еще больше с информацией, которую они восстановили по этим ссылкам. Например, проанализировав стандартную структуру URL-адресов OneDrive, они смогли перемещаться и получать доступ к ряду учетных записей OneDrive, многие из которых которые они обнаружили, были действительно доступны для записи, то есть они могли изменять файлы или загружать вредоносные программы, которые будут автоматически загружаться на компьютер.

А с Google Maps исследователи обнаружили много информации, которую люди, вероятно, хотели бы сохранить в тайне. Просматривая адреса по месту жительства, они могут сделать обоснованные предположения относительно того, в какие домохозяйства входит человек, который посещал специализированные клиники для лечения, центры лечения наркомании, стриптиз-клубы и поставщиков услуг по аборту. Было показано, что информация о местоположении очень ценна Что могут сказать органы государственной безопасности из метаданных вашего телефона? Читать далее в получении идентифицирующей информации для отдельных лиц, и эта информация в сочетании с некоторой сокращенной историей путешествий может быть очень полезна для воров личности.

Если вы хотите увидеть полную опубликованную статью, вы можете проверить это на arXivи один из исследователей также опубликовал сообщение в блоге с полезной сводкой.

Сделанные изменения

Исследователи Cornell Tech поделились своими результатами с Microsoft и Google, и обе компании предприняли шаги, чтобы уменьшить вероятность того, что их пользователи могут быть скомпрометированы сокращенными URL-адресами.

Сокращение URL было удалено из интерфейса OneDrive, и метод, используемый для получения дополнительной информации об учетной записи пользователя, больше не работает (несмотря на отрицание Microsoft, что их изменения имели какое-либо отношение к этому отчету или что исследование даже выявило безопасность уязвимость). Однако старые укороченные ссылки остаются уязвимыми.

Карты Google теперь используют токены из 11 и 12 символов вместо предложенных ранее из пяти символов, что значительно затрудняет их обнаружение с помощью атаки грубой силой. Google также затруднил одновременное сканирование огромного количества URL-адресов.

Будьте осторожны

Несмотря на то, что эти две службы предприняли шаги для уменьшения угрозы, в будущем, вероятно, будет обнаружена вероятность появления большего числа уязвимостей в процессе сокращения ссылок (все более и более мощные компьютеры Квантовые компьютеры: конец криптографии?Квантовое вычисление как идея существует уже некоторое время - теоретическая возможность была впервые представлена ​​в 1982 году. За последние несколько лет область приближалась к практичности. Читать далее конечно поможет). Когда я недавно проверил, используют ли популярные сервисы сокращений небольшое количество символов в своих токенах, как ow.ly, так и tinyurl использовали токены из шести символов, а bit.ly использовал семь.

Хотя оба они лучше, чем предыдущие пять Google, все еще беспокоит то, что люди могут отправлять доступ к важным файлам или личной информации таким образом. Исследователи из Cornell Tech продемонстрировали, что простое сканирование этих URL-адресов методом грубой силы может выявить удивительное количество информации о конкретных пользователях, включая несколько самые важные части информации для кражи личных данных 10 частей информации, которые используются для кражи вашей личностиКража личных данных может быть дорогостоящей. Вот 10 частей информации, которые вы должны защитить, чтобы ваша личность не была украдена. Читать далее .

Итак, что нужно сделать? Чтобы быть в полной безопасности, просто не используйте сокращатели URL для чего-либо, что может быть ценно для хакера, похитителя личных данных или другого злоумышленника. Укорачивающие устройства действительно полезны, но большую часть времени длинный URL будет работать просто отлично. Он большой, некрасивый и занимает много места в окне электронной почты или чата, но при этом гораздо безопаснее.

Также имейте в виду, что многие другие сервисы предлагают сокращение URL, и вы можете быть осторожны с ними. То, как каждая из этих служб обрабатывает разрешения с укороченными URL-адресами, может отличаться, но если вы случайно дали без доступа к Flickr, Google Фото, Google Drive, Twitter, Facebook или другим сообщениям, трудно понять, что будет бывает.

Если вам предоставлен выбор сократить URL-адрес токеном длиной более шести или семи символов, вам следует воспользоваться им. Исследователи в своей статье утверждают, что токены из 11 и 12 символов, используемые в Картах Google, не могут быть использованы методом подбора. (по крайней мере, с нынешней технологией и разумным количеством усилий), поэтому стремление к по крайней мере 10, вероятно, является хорошим идея.

Или просто создайте свой собственный URL-адрес Преимущества настройки вашего собственного URL Shortener и как это сделатьВ мире, состоящем из 140 символов и коротких интервалов внимания, вам нужно получить как можно больше текста в своем статусе в Твиттере, если вы хотите эффективно донести свое сообщение. Читать далее и убедитесь, что он использует достаточно символов в своих токенах URL!

Используете ли вы URL Shorteners?

Сокращение услуг, похоже, становится все более популярным, и регулярно появляются новые сервисы. Ограничение в 140 символов в Twitter и сложность работа с длинными строками текста на мобильных устройствах URL Shortener - это швейцарский нож обмена и сохранения ссылок на AndroidЧто отличает URL Shortener, так это то, как легко вы можете сохранять ссылки, копировать их в буфер обмена или делиться ими прямо из меню. Читать далее вероятно, способствовали их полезности, и возможность отправить ссылку в гораздо более удобном для просмотра формате, безусловно, привлекательна. Нет никаких сомнений, что они очень удобны, но удобство может не стоить риска.

Используете ли вы услугу сокращения URL? Какой из них вы используете? Используете ли вы его для конфиденциальных документов или просто для общедоступных ссылок? Вы сейчас беспокоитесь о безопасности своих ссылок? Поделитесь своими мыслями ниже!

Кредиты изображения: Георгиев и Шматиков через arXiv.