Zijn verkorte links uw veiligheid in gevaar?

Advertentie

URL-verkorters Probeer 10 verschillende URL-verkorters uit die u extra voordelen biedenHoe anders kunt u een uniforme resource locator inkorten? Welnu, het inkortingssysteem is vrijwel een alledaagse klus, maar de truc lijkt te zitten in de extra's die bij de verkortingsservice horen ... Lees verder zoals bit.ly, goo.gl, tinyurl en ow.ly zijn geweldig om het delen van links gemakkelijker te maken; je hoeft geen hele lange, lelijke URL in een chatvenster of een e-mail te plakken om iemand te helpen de weg te vinden naar de pagina die je wilt bereiken. Maar een recent onderzoek heeft aangetoond dat dit gemak uw veiligheid aanzienlijk kan kosten.

De studie

In de loop van 18 maanden hebben twee onderzoekers van Cornell Tech gekeken naar de verkorte URL's die zijn gemaakt door twee verschillende services: Microsoft OneDrive en Google Maps. Beide services maken verkorte links voor het delen van webpagina's (OneDrive gebruikt ze om de toegang tot documenten te delen, en Google Maps gebruikt ze om routebeschrijvingen of locaties te delen).

Vanwege het kleine aantal tekens dat in deze verkorte links wordt gebruikt, konden de onderzoekers een brute force-aanval gebruiken om verkorte URL's te vinden die linken naar echte documenten. De onderzoekers analyseerden 100.000.000 bit.ly-URL's met willekeurig gekozen tokens van zes tekens (zoals "1maQ2JZ"). 42% van alle tokens is omgezet naar daadwerkelijke volledige URL's, en bijna 19.500 daarvan hebben geleid tot OneDrive-documenten.

De onderzoekers vonden ook bijna 24.000.000 live links bij het scannen van de tokens van vijf tekens die eerder werden gebruikt door goo.gl/maps, waarvan ongeveer 10% voor routebeschrijvingen.

Toegang krijgen tot OneDrive-documenten en Google Maps-routebeschrijvingen is al erg genoeg, maar de onderzoekers ontdekten dat ze nog meer konden doen met de informatie die ze uit die links hadden gehaald. Door bijvoorbeeld de standaardstructuur van OneDrive-URL's te analyseren, konden ze navigeren en toegang krijgen tot een aantal OneDrive-accounts, veel van waarvan ze ontdekten dat ze eigenlijk beschrijfbaar waren, wat betekent dat ze bestanden konden wijzigen of malware konden uploaden die automatisch naar de eigenaar zou worden gedownload computer.

En met Google Maps ontdekten de onderzoekers veel informatie die mensen waarschijnlijk privé willen houden. Door naar woonadressen te kijken, konden ze weloverwogen gissingen maken over welke huishoudens een persoon omvatten ging naar gespecialiseerde klinieken voor medische behandeling, centra voor verslavingszorg, stripclubs en abortusaanbieders. Dat is aangetoond locatie-informatie is zeer waardevol Wat kunnen de veiligheidsdiensten van de overheid vertellen over de metagegevens van uw telefoon? Lees verder bij het verkrijgen van identificerende informatie voor individuen, en die informatie in combinatie met een soort verkorte reisgeschiedenis kan zeer nuttig zijn voor dieven.

Als je het volledige gepubliceerde artikel wilt zien, kan dat bekijk het op arXiv, en een van de onderzoekers publiceerde ook een blogpost met een handige samenvatting.

Veranderingen gemaakt

De Cornell Tech-onderzoekers deelden hun resultaten met Microsoft en Google, en beide bedrijven hebben stappen ondernomen om de kans te verkleinen dat hun gebruikers zouden kunnen worden gehackt door verkorte URL's.

URL-verkorting is verwijderd uit de OneDrive-interface en de methode die wordt gebruikt om meer informatie over het account van de gebruiker te krijgen, is niet langer werkt (ondanks de ontkenning van Microsoft dat hun wijzigingen iets met dit rapport te maken hadden of dat de studie zelfs een beveiliging onthulde kwetsbaarheid). Oude verkorte schakels blijven echter kwetsbaar.

Google Maps gebruikt nu tokens van 11 en 12 tekens in plaats van de eerder aangeboden tekens van vijf tekens, waardoor het aanzienlijk moeilijker wordt om ze te onthullen met een brute force-aanval. Google maakte het ook moeilijker om grote aantallen URL's tegelijk te scannen.

Blijf voorzichtig

Hoewel deze twee services stappen hebben ondernomen om de dreiging te verminderen, zal de mogelijkheid van meer kwetsbaarheden in het linkverkortingsproces waarschijnlijk ergens in de toekomst worden gevonden (steeds krachtigere computers Quantum Computers: het einde van cryptografie?Quantum computing als idee bestaat al een tijdje - de theoretische mogelijkheid werd oorspronkelijk geïntroduceerd in 1982. In de afgelopen jaren is het veld dichter bij de praktijk gekomen. Lees verder zal zeker helpen). Toen ik onlangs controleerde of populaire verkortingsdiensten kleine aantallen tekens in hun tokens gebruikten, hadden zowel ow.ly als tinyurl tokens van zes tekens en bit.ly gebruikte er zeven.

Hoewel beide beter zijn dan de vorige vijf van Google, is het nog steeds zorgwekkend dat mensen op deze manier toegang tot belangrijke bestanden of persoonlijke informatie kunnen sturen. De Cornell Tech-onderzoekers hebben aangetoond dat een simpele brute-force-scan van deze URL's een verrassende hoeveelheid informatie over specifieke gebruikers kan opleveren, waaronder enkele van de belangrijkste stukjes informatie voor identiteitsdiefstal 10 stukjes informatie die worden gebruikt om uw identiteit te stelenIdentiteitsdiefstal kan kostbaar zijn. Hier zijn de 10 stukjes informatie die u moet beschermen, zodat uw identiteit niet wordt gestolen. Lees verder .

Dus wat moet je doen? Om helemaal veilig te zijn, gebruik je gewoon geen URL-verkorters voor iets dat waardevol kan zijn voor een hacker, identiteitsdief of ander kwaaddoener. Verkorters zijn erg handig, maar meestal werkt een lange URL prima. Het is groot, lelijk en neemt veel ruimte in beslag in een e-mail- of chatvenster, maar het is ook een stuk veiliger.

Houd er ook rekening mee dat veel andere services URL-verkorting bieden en dat u hier ook voorzichtig mee wilt zijn. Hoe elk van deze services omgaat met machtigingen met verkorte URL's, zal waarschijnlijk verschillen, maar als je per ongeluk hebt gegeven weg toegang tot een Flickr, Google Foto's, Google Drive, Twitter, Facebook of andere post, het is moeilijk om te weten wat zal gebeuren.

Als u de keuze krijgt om een ​​URL in te korten met een token die langer is dan zes of zeven tekens, moet u deze nemen. De onderzoekers zeiden in hun paper dat de tokens van 11 en 12 tekens die door Google Maps worden gebruikt, niet bruut te forceren zijn (althans met de huidige technologie en een redelijke hoeveelheid inspanning), dus streven naar ten minste 10 is waarschijnlijk een goed idee.

Of gewoon maak je eigen URL-verkorter De voordelen van het instellen van uw eigen URL-verkorter en hoe u dit moet doenIn een wereld van 140 tekens en korte aandachtsspanne moet je zoveel mogelijk tekst in je Twitter-status krijgen als je je boodschap effectief wilt overbrengen. Lees verder en zorg ervoor dat het voldoende tekens gebruikt in de URL-tokens!

Gebruik je URL-verkorters?

Inkortingsdiensten lijken in populariteit toe te nemen, met nieuwe diensten die regelmatig opduiken. De limiet van 140 tekens van Twitter en de moeilijkheidsgraad van werken met lange reeksen tekst op mobiele apparaten URL-verkorter is het Zwitserse mes van het delen en opslaan van links op AndroidWat URL-verkorter onderscheidt, is hoe gemakkelijk het voor u is om links op te slaan, naar een klembord te kopiëren of rechtstreeks vanuit een menu te delen. Lees verder hebben waarschijnlijk bijgedragen aan hun bruikbaarheid en de mogelijkheid om een ​​link in een veel meer kijkervriendelijk formaat te verzenden, is zeker aantrekkelijk. Er wordt niet beweerd dat ze erg handig zijn, maar het gemak is het risico misschien niet waard.

Gebruikt u een URL-verkortingsservice? Welke gebruik je? Gebruik je het voor gevoelige documenten, of gewoon voor publiek toegankelijke links? Maakt u zich nu zorgen over de beveiliging van uw links? Deel uw mening hieronder!

Afbeeldingscredits: Georgiev en Shmatikov via arXiv.