Linkurile scurtate vă compromit securitatea?

Publicitate

Reductoare URL Încercați 10 scurtături URL diferite care vă oferă beneficii suplimentareCât de diferit puteți scurta un localizator de resurse uniform? Ei bine, sistemul de scurtare este destul de mult un job de curățare, dar trucul pare să fie în extrasul care vine cu serviciul de scurtare ... Citeste mai mult cum ar fi bit.ly, goo.gl, tinyurl și ow.ly sunt minunate pentru a facilita partajarea legăturilor; nu trebuie să inserați o adresă URL foarte lungă și urâtă într-o fereastră de chat sau într-un e-mail pentru a ajuta pe cineva să își găsească drumul către pagina la care doriți să ajungă. Dar un studiu recent a arătat că această comoditate ar putea aduce un cost semnificativ pentru securitatea dumneavoastră.

Studiul

Pe parcursul a 18 luni, doi cercetători de la Cornell Tech au analizat adresele URL scurtate create de două servicii diferite: Microsoft OneDrive și Google Maps. Ambele servicii creează legături scurtate pentru partajarea paginilor web (OneDrive le folosește pentru a partaja accesul la documente, iar Google Maps le folosește pentru a partaja direcții sau locații).

Din cauza numărului redus de caractere utilizate în aceste legături scurtate, cercetătorii au putut folosi un atac de forță brută pentru a găsi URL-uri scurtate care s-au legat de documente reale. Cercetatorii au analizat 100.000.000 de adrese URL bit.ly cu jetoane alese aleatoriu de sase caractere (cum ar fi „1maQ2JZ”). 42% din token-urile s-au rezolvat la adresele URL complete și aproape 19.500 dintre cele care au dus la documente OneDrive.

Cercetătorii au descoperit, de asemenea, aproape 24.000.000 de link-uri live când scanează tokens-urile de cinci caractere folosite anterior de goo.gl/maps, aproximativ 10% dintre acestea fiind destinate indicațiilor de conducere.

Obținerea accesului la documentele OneDrive și la indicațiile Google Maps este destul de rău, însă cercetătorii au descoperit că ar putea face și mai mult cu informațiile pe care le-au recuperat de la aceste link-uri. De exemplu, analizând structura standard a adreselor URL OneDrive, au putut să navigheze și să obțină acces la o serie de conturi OneDrive, multe dintre pe care au găsit-o de fapt pot fi scrise, ceea ce înseamnă că ar putea schimba fișiere sau încărca malware care ar fi descărcat automat pe proprietarul calculator.

Iar cu Google Maps, cercetătorii au descoperit o mulțime de informații pe care oamenii ar dori să le păstreze în mod privat. Analizând adresele rezidențiale, aceștia ar putea face ghiciri educate cu privire la ce gospodării includeau o persoană care a mers la clinici specializate pentru tratament medical, centre de tratament pentru dependență, cluburi de striptease și furnizori de avort. S-a arătat că informațiile despre locație sunt foarte valoroase Ce pot spune agențiile de securitate guvernamentale din metadatele telefonului dvs.? Citeste mai mult în obținerea informațiilor de identificare pentru indivizi și informațiile combinate cu un fel de istoric de călătorie prescurtat ar putea fi foarte utile pentru hoții de identitate.

Dacă doriți să vedeți articolul publicat complet, puteți verifică-l la arXiv, iar unul dintre cercetători a publicat, de asemenea, un postare pe blog cu un rezumat util.

Modificări făcute

Cercetătorii Cornell Tech și-au împărtășit rezultatele cu Microsoft și Google și ambele companii au făcut măsuri pentru a reduce probabilitatea ca utilizatorii lor să poată fi compromiși de adresele URL scurtate.

Scurtarea URL-ului a fost eliminată din interfața OneDrive, iar metoda folosită pentru a obține mai multe informații despre contul utilizatorului nu mai este funcționează (în ciuda refuzului Microsoft că modificările lor au avut vreo legătură cu acest raport sau că studiul a scos la iveală o securitate vulnerabilitate). Cu toate acestea, legăturile vechi scurtate rămân vulnerabile.

Google Maps folosește acum jetoane cu 11 și 12 caractere în loc de cele cu cinci caractere oferite înainte, ceea ce face să fie semnificativ mai greu să le dezvălui cu un atac de forță brută. De asemenea, Google a făcut mai dificil să fie scanate simultan un număr mare de adrese URL.

Stai atent

Chiar dacă aceste două servicii au făcut măsuri pentru atenuarea amenințării, posibilitatea unor mai multe vulnerabilități în procesul de scurtare a legăturilor va fi probabil găsită cândva în viitor (calculatoare din ce în ce mai puternice Calculatoare cuantice: Sfârșitul criptografiei?Calculul cuantic ca idee a existat de ceva vreme - posibilitatea teoretică a fost introdusă inițial în 1982. În ultimii ani, domeniul s-a apropiat mai mult de practic. Citeste mai mult va ajuta cu siguranță). Când am verificat recent să văd dacă serviciile de scurtare populare foloseau un număr mic de caractere în token-urile lor, atât ow.ly cât și tinyurl aveau jetoane cu șase caractere și bit.ly au folosit șapte.

Deși ambele sunt mai bune decât cele cinci anterioare ale Google, este totuși îngrijorător faptul că oamenii ar putea trimite acces la fișiere importante sau informații personale în acest fel. Cercetătorii Cornell Tech au demonstrat că o scanare simplă a forței brute a acestor adrese URL poate dezvălui o cantitate surprinzătoare de informații despre utilizatori specifici, inclusiv câteva dintre cele mai importante informații pentru furtul de identitate 10 informații care sunt folosite pentru a vă fura identitateaFurtul de identitate poate fi costisitor. Iată cele 10 informații pe care trebuie să le protejați, astfel încât identitatea dvs. să nu fie furată. Citeste mai mult .

Deci ce ar trebui să faci? Pentru a fi total în siguranță, nu folosiți scurtături URL pentru orice lucru care ar putea fi valoros pentru un hacker, un hoț de identitate sau alte abateri. Scurtele sunt cu adevărat utile, dar de cele mai multe ori, o adresă URL lungă va funcționa bine. Este mare, urât și ocupă mult spațiu într-o fereastră de e-mail sau de chat, dar este, de asemenea, mult mai sigur.

De asemenea, trebuie să fiți conștienți de faptul că multe alte servicii oferă o scurtare a adresei URL și este posibil să doriți să fiți atenți și cu acestea. Modul în care fiecare dintre aceste servicii gestionează permisiunile cu adresele URL scurtate este diferit, dar dacă ați dat accidental accesul departe la un Flickr, Google Photos, Google Drive, Twitter, Facebook sau alte postări, este greu de știut ce va face întâmpla.

Dacă vi se oferă posibilitatea de a scurta o adresă URL cu un simbol care este mai mare de șase sau șapte caractere, ar trebui să o luați. Cercetătorii au spus în lucrarea lor că token-urile cu 11 și 12 caractere utilizate de Google Maps nu sunt obligatorii (cel puțin cu tehnologia actuală și o cantitate rezonabilă de efort), deci să vizăm cel puțin 10 este probabil un lucru bun idee.

Sau doar creează-ți propriul scurtător URL Avantajele configurarii propriului dvs. scurtator URL și cum se faceÎntr-o lume de 140 de caractere și cu o atenție scurtă, trebuie să obțineți cât mai mult text posibil în starea dvs. de Twitter, dacă veți transmite mesajul în mod eficient. Citeste mai mult și asigurați-vă că utilizează suficiente caractere în jetoanele URL!

Folosiți scurtături URL?

Serviciile de scurtare par să crească în popularitate, serviciile noi apărând în mod regulat. Limita de 140 de caractere a Twitter și dificultatea acestora lucrul cu șiruri lungi de text pe dispozitive mobile Scurtătorul URL este cuțitul elvețian de partajare și economisire a legăturilor pe AndroidCeea ce diferențiază URL Shortener este cât de ușor vă permite să salvați link-uri, să le copiați pe un clipboard sau să le partajați direct dintr-un meniu. Citeste mai mult au contribuit probabil la utilitatea lor, iar abilitatea de a trimite un link într-un format mult mai prietenos pentru spectatori este cu siguranță atrăgătoare. Nu există niciun motiv de argumentare a faptului că sunt foarte convenabile, dar este posibil să nu merite riscul.

Folosiți un serviciu de scurtare a adreselor URL? Pe care îl folosești? Îl folosești pentru documente sensibile sau doar pentru link-uri accesibile publicului? Ești acum îngrijorat de securitatea linkurilor tale? Împărtășește-ți mai jos gândurile!

Credite imagine: Georgiev și Șmatikov via arXiv.