I collegamenti abbreviati compromettono la tua sicurezza?

Annuncio pubblicitario

Accorciatori di URL Prova 10 diversi accorciatori di URL che offrono vantaggi aggiuntiviIn che modo puoi abbreviare un localizzatore di risorse uniforme? Bene, il sistema di accorciamento è praticamente un lavoro ordinario, ma il trucco sembra essere negli extra che derivano dal servizio di accorciamento ... Leggi di più come bit.ly, goo.gl, tinyurl e ow.ly sono ottimi per rendere più semplice la condivisione dei collegamenti; non è necessario incollare un URL davvero lungo e brutto in una finestra di chat o in un'email per aiutare qualcuno a trovare la pagina che desideri raggiungere. Ma uno studio recente ha dimostrato che questa comodità potrebbe comportare un costo significativo per la sicurezza.

Lo studio

Nel corso di 18 mesi, due ricercatori di Cornell Tech hanno esaminato gli URL abbreviati creati da due diversi servizi: Microsoft OneDrive e Google Maps. Entrambi i servizi creano collegamenti abbreviati per la condivisione di pagine Web (OneDrive li utilizza per condividere l'accesso ai documenti e Google Maps li utilizza per condividere indicazioni o posizioni).

A causa del piccolo numero di caratteri utilizzati in questi collegamenti abbreviati, i ricercatori sono stati in grado di utilizzare un attacco di forza bruta per trovare URL abbreviati collegati a documenti reali. I ricercatori hanno analizzato 100.000.000 di bit.ly URL con token a sei caratteri scelti in modo casuale (come "1maQ2JZ"). Il 42% di tutti i token si è risolto in veri e propri URL completi e quasi 19.500 di questi hanno portato a documenti OneDrive.

I ricercatori hanno anche trovato quasi 24.000.000 di link attivi durante la scansione dei token a cinque caratteri precedentemente utilizzati da goo.gl/maps, circa il 10% dei quali erano destinati alle indicazioni stradali.

Ottenere l'accesso ai documenti OneDrive e alle indicazioni di Google Maps è abbastanza male, ma i ricercatori hanno scoperto che avrebbero potuto fare ancora di più con le informazioni recuperate da quei collegamenti. Ad esempio, analizzando la struttura standard degli URL OneDrive, sono stati in grado di navigare e ottenere l'accesso a un numero di account OneDrive, molti dei che hanno scoperto erano effettivamente scrivibili, il che significa che potevano cambiare file o caricare malware che sarebbero stati automaticamente scaricati sul proprietario computer.

E con Google Maps, i ricercatori hanno scoperto molte informazioni che la gente vorrebbe probabilmente mantenere private. Guardando gli indirizzi residenziali, potevano fare ipotesi istruite su quali famiglie includessero una persona che è andato in cliniche specializzate per cure mediche, centri di trattamento delle dipendenze, strip club e fornitori di aborti. È stato dimostrato che le informazioni sulla posizione sono molto preziose Cosa possono dire le agenzie di sicurezza governative dai metadati del telefono? Leggi di più nell'ottenere informazioni identificative per gli individui e che le informazioni combinate con una sorta di storia abbreviata dei viaggi potrebbero essere molto utili per i ladri di identità.

Se vuoi vedere l'articolo completo pubblicato, puoi farlo dai un'occhiata a arXive uno dei ricercatori ha anche pubblicato a post sul blog con un utile riepilogo.

Modifiche apportate

I ricercatori di Cornell Tech hanno condiviso i loro risultati con Microsoft e Google, ed entrambe le aziende hanno preso provvedimenti per ridurre la probabilità che i loro utenti possano essere compromessi da URL abbreviati.

L'accorciamento dell'URL è stato rimosso dall'interfaccia di OneDrive e il metodo utilizzato per ottenere maggiori informazioni sull'account dell'utente non è più funziona (nonostante la smentita di Microsoft che le loro modifiche abbiano qualcosa a che fare con questo rapporto o che lo studio abbia persino rivelato una sicurezza vulnerabilità). I vecchi collegamenti abbreviati, tuttavia, rimangono vulnerabili.

Google Maps ora utilizza token di 11 e 12 caratteri anziché quelli a cinque caratteri offerti in precedenza, rendendo significativamente più difficile rivelarli con un attacco di forza bruta. Google ha inoltre reso più difficile la scansione di un gran numero di URL contemporaneamente.

Stai attento

Anche se questi due servizi hanno preso provvedimenti per mitigare la minaccia, la possibilità di maggiori vulnerabilità nel processo di abbreviazione dei collegamenti sarà probabilmente trovata in futuro (computer sempre più potenti Computer quantistici: la fine della crittografia?Il calcolo quantistico come idea esiste da un po 'di tempo: la possibilità teorica è stata originariamente introdotta nel 1982. Negli ultimi anni il campo si è avvicinato alla praticità. Leggi di più aiuterà sicuramente). Di recente ho verificato se i servizi di accorciamento popolari utilizzavano un numero limitato di caratteri nei loro token, sia ow.ly che tinyurl avevano token a sei caratteri e bit.ly ne utilizzava sette.

Sebbene entrambi siano migliori dei precedenti cinque di Google, è ancora preoccupante che le persone possano inviare in questo modo l'accesso a file o informazioni personali importanti. I ricercatori di Cornell Tech hanno dimostrato che una semplice scansione a forza bruta di questi URL può rivelare una sorprendente quantità di informazioni su utenti specifici, tra cui alcuni dei informazioni più importanti per il furto di identità 10 informazioni che vengono utilizzate per rubare la tua identitàIl furto di identità può essere costoso. Ecco le 10 informazioni che devi proteggere per non rubare la tua identità. Leggi di più .

Quindi cosa dovresti fare? Per essere totalmente sicuri, non utilizzare abbreviazioni di URL per qualsiasi cosa possa essere utile per un hacker, un ladro di identità o un altro maltrattante. Gli accorciatori sono davvero utili, ma la maggior parte delle volte un URL lungo funzionerà perfettamente. È grande, brutto e occupa molto spazio in una finestra di posta elettronica o chat, ma è anche molto più sicuro.

Inoltre, tieni presente che molti altri servizi offrono abbreviazioni di URL e potresti voler fare attenzione anche a quelli. Il modo in cui ciascuno di questi servizi gestisce le autorizzazioni con URL abbreviati è probabilmente diverso, ma se hai dato accidentalmente accesso a Flickr, Google Foto, Google Drive, Twitter, Facebook o altri post, è difficile sapere cosa sarà accadere.

Se ti viene data la possibilità di abbreviare un URL con un token che è più lungo di sei o sette caratteri, dovresti prenderlo. I ricercatori hanno affermato nel loro articolo che i token di 11 e 12 caratteri utilizzati da Google Maps non sono forzabili (almeno con la tecnologia attuale e un ragionevole sforzo), quindi puntare ad almeno 10 è probabilmente un buon risultato idea.

O semplicemente crea il tuo accorciatore di URL I vantaggi di impostare il proprio accorciatore di URL e come farloIn un mondo di 140 caratteri e brevi intervalli di attenzione, devi ottenere più testo possibile nel tuo stato di Twitter, se vuoi trasmettere efficacemente il tuo messaggio. Leggi di più e assicurati che usi abbastanza caratteri nei suoi token URL!

Usi accorciatori di URL?

I servizi di accorciamento sembrano essere in aumento in popolarità, con nuovi servizi che spuntano regolarmente. Il limite di 140 caratteri di Twitter e la difficoltà di lavorare con lunghe stringhe di testo su dispositivi mobili L'accorciatore di URL è il coltellino svizzero di condivisione e salvataggio di link su AndroidCiò che distingue URL Shortener è la facilità con cui è possibile salvare i collegamenti, copiarli negli Appunti o condividerli direttamente da un menu. Leggi di più hanno probabilmente contribuito alla loro utilità e la capacità di inviare un collegamento in un formato molto più intuitivo è sicuramente interessante. Non si può sostenere che siano molto convenienti, ma la convenienza potrebbe non valere il rischio.

Usi un servizio di abbreviazione di URL? Quale usi? Lo usi per documenti sensibili o solo per link accessibili pubblicamente? Sei ora preoccupato per la sicurezza dei tuoi link? Condividi i tuoi pensieri qui sotto!

Crediti immagine: Georgiev e Shmatikov via arXiv.