Beeinträchtigen verkürzte Links Ihre Sicherheit?

Werbung

URL-Shortener Probieren Sie 10 verschiedene URL-Shortener aus, die Ihnen Addon-Vorteile bietenWie unterschiedlich können Sie einen einheitlichen Ressourcenfinder kürzen? Nun, das Verkürzungssystem ist so ziemlich ein gewöhnlicher Job, aber der Trick scheint in den Extras zu liegen, die mit dem Verkürzungsservice einhergehen ... Weiterlesen wie bit.ly, goo.gl, tinyurl und ow.ly eignen sich hervorragend, um das Teilen von Links zu vereinfachen. Sie müssen keine wirklich lange, hässliche URL in ein Chatfenster oder eine E-Mail einfügen, um jemandem zu helfen, den Weg zu der Seite zu finden, zu der er gelangen soll. Eine kürzlich durchgeführte Studie hat jedoch gezeigt, dass diese Bequemlichkeit Ihre Sicherheit erheblich beeinträchtigen kann.

Die Studium

Innerhalb von 18 Monaten untersuchten zwei Forscher von Cornell Tech die verkürzten URLs, die von zwei verschiedenen Diensten erstellt wurden: Microsoft OneDrive und Google Maps. Beide Dienste erstellen verkürzte Links für die Freigabe von Webseiten (OneDrive verwendet sie, um den Zugriff auf Dokumente freizugeben, und Google Maps verwendet sie, um Wegbeschreibungen oder Standorte freizugeben).

Aufgrund der geringen Anzahl von Zeichen, die in diesen verkürzten Links verwendet wurden, konnten die Forscher mithilfe eines Brute-Force-Angriffs verkürzte URLs finden, die mit tatsächlichen Dokumenten verknüpft waren. Die Forscher analysierten 100.000.000 bit.ly-URLs mit zufällig ausgewählten Token mit sechs Zeichen (wie „1maQ2JZ“). 42% aller Token wurden in vollständige URLs aufgelöst, und fast 19.500 davon führten zu OneDrive-Dokumenten.

Die Forscher fanden außerdem fast 24.000.000 Live-Links beim Scannen der zuvor von goo.gl/maps verwendeten Token mit fünf Zeichen, von denen etwa 10% für Wegbeschreibungen bestimmt waren.

Der Zugriff auf OneDrive-Dokumente und Google Maps-Anweisungen ist schon schlimm genug, aber die Forscher stellten fest, dass sie mit den Informationen, die sie über diese Links wiederhergestellt haben, noch mehr erreichen können. Durch die Analyse der Standardstruktur von OneDrive-URLs konnten sie beispielsweise navigieren und auf eine Reihe von OneDrive-Konten zugreifen, von denen viele Die gefundenen Dateien waren tatsächlich beschreibbar, dh sie konnten Dateien ändern oder Malware hochladen, die automatisch auf den Eigentümer heruntergeladen wurde Computer.

Und mit Google Maps entdeckten die Forscher viele Informationen, die die Leute wahrscheinlich privat halten möchten. Durch die Betrachtung von Wohnadressen konnten sie fundierte Vermutungen anstellen, zu welchen Haushalten eine Person gehörte, die ging in Fachkliniken für medizinische Behandlung, Suchtbehandlungszentren, Strip-Clubs und Abtreibungsanbieter. Es wurde gezeigt, dass Standortinformationen sind sehr wertvoll Was können staatliche Sicherheitsbehörden anhand der Metadaten Ihres Telefons sagen? Weiterlesen Wenn es darum geht, identifizierende Informationen für Einzelpersonen zu erhalten, und diese Informationen in Kombination mit einer Art abgekürztem Reiseverlauf können Identitätsdiebe sehr nützlich sein.

Wenn Sie den vollständig veröffentlichten Artikel sehen möchten, können Sie schau es dir bei arXiv anund einer der Forscher veröffentlichte auch eine Blog-Beitrag mit einer nützlichen Zusammenfassung.

Änderungen vorgenommen

Die Cornell Tech-Forscher teilten ihre Ergebnisse Microsoft und Google mit, und beide Unternehmen haben Schritte unternommen, um die Wahrscheinlichkeit zu verringern, dass ihre Benutzer durch verkürzte URLs gefährdet werden.

Die URL-Verkürzung wurde aus der OneDrive-Benutzeroberfläche entfernt, und die Methode, mit der weitere Informationen zum Benutzerkonto abgerufen werden, wurde nicht mehr verwendet funktioniert (trotz der Ablehnung von Microsoft, dass ihre Änderungen irgendetwas mit diesem Bericht zu tun hatten oder dass die Studie sogar eine Sicherheit enthüllte Verletzlichkeit). Alte verkürzte Links bleiben jedoch anfällig.

Google Maps verwendet jetzt Token mit 11 und 12 Zeichen anstelle der zuvor angebotenen Token mit fünf Zeichen, was es erheblich schwieriger macht, sie mit einem Brute-Force-Angriff aufzudecken. Google hat es auch schwieriger gemacht, eine große Anzahl von URLs gleichzeitig zu scannen.

Bleib vorsichtig

Obwohl diese beiden Dienste Schritte unternommen haben, um die Bedrohung zu mindern, wird die Möglichkeit weiterer Schwachstellen im Prozess der Linkverkürzung wahrscheinlich irgendwann in der Zukunft bestehen (immer leistungsfähigere Computer Quantencomputer: Das Ende der Kryptographie?Quantencomputer als Idee gibt es schon seit einiger Zeit - die theoretische Möglichkeit wurde ursprünglich 1982 eingeführt. In den letzten Jahren hat sich das Gebiet der Praktikabilität angenähert. Weiterlesen wird sicherlich helfen). Als ich kürzlich überprüfte, ob beliebte Verkürzungsdienste eine geringe Anzahl von Zeichen in ihren Token verwendeten, hatten sowohl ow.ly als auch tinyurl Token mit sechs Zeichen und bit.ly verwendeten sieben.

Beide sind zwar besser als die vorherigen fünf von Google, es besteht jedoch weiterhin die Sorge, dass Nutzer auf diese Weise Zugriff auf wichtige Dateien oder persönliche Informationen senden. Die Forscher von Cornell Tech haben gezeigt, dass ein einfacher Brute-Force-Scan dieser URLs eine überraschende Menge an Informationen zu bestimmten Benutzern liefern kann, darunter einige der wichtigste Informationen für Identitätsdiebstahl 10 Informationen, mit denen Sie Ihre Identität stehlen könnenIdentitätsdiebstahl kann kostspielig sein. Hier sind die 10 Informationen, die Sie zum Schutz benötigen, damit Ihre Identität nicht gestohlen wird. Weiterlesen .

Was solltest du also tun? Verwenden Sie aus Sicherheitsgründen keine URL-Kürzungen für irgendetwas, das für einen Hacker, einen Identitätsdieb oder einen anderen Schurken wertvoll sein könnte. Shortener sind wirklich nützlich, aber meistens funktioniert eine lange URL einwandfrei. Es ist groß, hässlich und nimmt viel Platz in einem E-Mail- oder Chat-Fenster ein, aber es ist auch viel sicherer.

Beachten Sie auch, dass viele andere Dienste eine URL-Verkürzung anbieten, und Sie sollten auch mit diesen vorsichtig sein. Wie jeder dieser Dienste mit Berechtigungen mit verkürzten URLs umgeht, ist wahrscheinlich unterschiedlich, aber wenn Sie versehentlich angegeben haben Wenn Sie nicht auf Flickr, Google Fotos, Google Drive, Twitter, Facebook oder einen anderen Beitrag zugreifen können, ist es schwer zu wissen, was passiert geschehen.

Wenn Sie die Wahl haben, eine URL mit einem Token zu kürzen, das länger als sechs oder sieben Zeichen ist, sollten Sie sie verwenden. Die Forscher sagten in ihrer Arbeit, dass die von Google Maps verwendeten Token mit 11 und 12 Zeichen nicht brutal erzwungen werden können (zumindest mit der aktuellen Technologie und einem angemessenen Aufwand), daher ist es wahrscheinlich gut, mindestens 10 anzustreben Idee.

Oder nur Erstellen Sie Ihren eigenen URL-Shortener Die Vorteile des Einrichtens eines eigenen URL-Kürzers und wie es gehtIn einer Welt mit 140 Zeichen und kurzen Aufmerksamkeitsspannen müssen Sie so viel Text wie möglich in Ihren Twitter-Status aufnehmen, um Ihre Botschaft effektiv zu vermitteln. Weiterlesen und stellen Sie sicher, dass in den URL-Token genügend Zeichen verwendet werden!

Verwenden Sie URL-Shortener?

Verkürzungsdienste scheinen immer beliebter zu werden, und es tauchen regelmäßig neue Dienste auf. Das 140-Zeichen-Limit von Twitter und die Schwierigkeit von Arbeiten mit langen Textfolgen auf Mobilgeräten URL Shortener ist das Schweizer Messer für das Teilen und Speichern von Links auf AndroidDas Besondere an URL Shortener ist, wie einfach Sie Links speichern, in eine Zwischenablage kopieren oder direkt aus einem Menü freigeben können. Weiterlesen haben wahrscheinlich zu ihrer Nützlichkeit beigetragen, und die Möglichkeit, einen Link in einem viel zuschauerfreundlicheren Format zu senden, ist sicherlich ansprechend. Es gibt keine Argumente dafür, dass sie sehr praktisch sind, aber die Bequemlichkeit ist das Risiko möglicherweise nicht wert.

Verwenden Sie einen URL-Verkürzungsdienst? Welches benutzt du? Verwenden Sie es für vertrauliche Dokumente oder nur für öffentlich zugängliche Links? Sorgen Sie sich jetzt um die Sicherheit Ihrer Links? Teilen Sie Ihre Gedanken unten!

Bildnachweis: Georgiev und Shmatikov über arXiv.