I collegamenti abbreviati compromettono la sicurezza?

Accorciatori URL Prova 10 Accorciatori URL diversi che ti offrono vantaggi aggiuntivi Prova 10 accorciatori URL diversi che ti offrono vantaggi aggiuntivi Quanto è diverso l'accorciamento di un localizzatore di risorse uniforme? Bene, il sistema di accorciamento è praticamente un lavoro di routine, ma il trucco sembra essere negli extra forniti con il servizio di accorciamento ... Per saperne di più come bit.ly, goo.gl, tinyurl e ow. sono ottimi per semplificare la condivisione dei link; non è necessario incollare un URL veramente lungo e brutto in una finestra di chat o in un messaggio di posta elettronica per consentire a qualcuno di trovare la strada verso la pagina che si desidera venga raggiunta. Ma uno studio recente ha dimostrato che questa convenienza potrebbe comportare un costo significativo per la sicurezza.

Lo studio

Nel corso di 18 mesi, due ricercatori della Cornell Tech hanno esaminato gli URL abbreviati creati da due diversi servizi: Microsoft OneDrive e Google Maps. Entrambi i servizi creano collegamenti abbreviati per la condivisione di pagine Web (OneDrive li utilizza per condividere l'accesso ai documenti e Google Maps li utilizza per condividere indicazioni stradali o posizioni).

A causa del numero limitato di caratteri utilizzati in questi collegamenti abbreviati, i ricercatori sono stati in grado di utilizzare un attacco di forza bruta per trovare URL abbreviati che si collegavano ai documenti reali. I ricercatori hanno analizzato 100.000.000 di URL bit.ly con token di sei caratteri scelti a caso (come “1maQ2JZ”). Il 42% di tutti i token è stato risolto con URL completi effettivi e quasi 19.500 di quelli che hanno portato a documenti OneDrive.

I ricercatori hanno anche trovato quasi 24.000.000 collegamenti in diretta durante la scansione dei token a cinque caratteri precedentemente utilizzati da goo.gl/maps, circa il 10% dei quali erano per le indicazioni stradali.

Ottenere l'accesso ai documenti OneDrive e alle indicazioni di Google Maps è già abbastanza grave, ma i ricercatori hanno scoperto che potevano fare ancora di più con le informazioni recuperate da quei link. Ad esempio, analizzando la struttura standard degli URL OneDrive, sono stati in grado di navigare e accedere a un numero di account OneDrive, molti dei quali hanno trovato erano effettivamente scrivibili, il che significa che potevano cambiare file o caricare malware che sarebbero stati scaricati automaticamente in il computer del proprietario.

E con Google Maps, i ricercatori hanno scoperto molte informazioni che la gente probabilmente vorrebbe mantenere private. Osservando gli indirizzi residenziali, potevano fare ipotesi plausibili su quali famiglie includessero una persona che andava in cliniche specializzate per cure mediche, centri per il trattamento delle dipendenze, strip club e fornitori di aborti. È stato dimostrato che le informazioni sulla posizione sono molto preziose Cosa possono dire le agenzie di sicurezza del governo dai metadati del tuo telefono? Cosa possono dire le agenzie di sicurezza del governo dai metadati del tuo telefono? Leggi di più per ottenere informazioni identificative per gli individui e che le informazioni combinate con una sorta di cronologia di viaggio abbreviata potrebbero essere molto utili per i ladri di identità.

Se vuoi vedere l'intero articolo pubblicato, puoi verificarlo su arXiv, e uno dei ricercatori ha anche pubblicato un post sul blog con un sommario utile.

Modifiche fatte

I ricercatori della Cornell Tech hanno condiviso i loro risultati con Microsoft e Google, e entrambe le società hanno adottato misure per ridurre la probabilità che i loro utenti possano essere compromessi da URL abbreviati.

L'accorciamento dell'URL è stato rimosso dall'interfaccia OneDrive e il metodo utilizzato per ottenere ulteriori informazioni sull'account dell'utente non funziona più (nonostante la Microsoft neghi che le loro modifiche abbiano avuto a che fare con questo rapporto o che lo studio abbia rivelato una vulnerabilità di sicurezza). I vecchi collegamenti abbreviati, tuttavia, restano vulnerabili.

Google Maps ora utilizza token di 11 e 12 caratteri invece dei cinque caratteri offerti in precedenza, rendendo molto più difficile rivelarli con un attacco di forza bruta. Google ha inoltre reso più difficile la scansione di un vasto numero di URL contemporaneamente.

Stai attento

Anche se questi due servizi hanno adottato misure per mitigare la minaccia, la possibilità di ulteriori vulnerabilità nel processo di accorciamento dei collegamenti sarà probabilmente trovata in futuro (computer sempre più potenti Computer quantistici: The End of Cryptography? Quantum Computers: The Fine della crittografia Il calcolo quantico come idea è in circolazione da un po 'di tempo - la possibilità teorica è stata originariamente introdotta nel 1982. Negli ultimi anni, il campo si è avvicinato alla praticità. Quando di recente ho verificato se i popolari servizi di accorciamento usavano un piccolo numero di caratteri nei loro token, sia ow.ly che tinyurl avevano token di sei caratteri, e bit.ly usava sette.

Sebbene entrambi siano migliori dei precedenti cinque di Google, è comunque preoccupante che le persone possano inviare accesso a file importanti o informazioni personali in questo modo. I ricercatori della Cornell Tech hanno dimostrato che una semplice scansione a forza bruta di questi URL può rivelare una quantità sorprendente di informazioni su utenti specifici, incluse alcune delle informazioni più importanti per il furto di identità. 10 Pezzi di informazione che vengono utilizzati per rubare la tua identità 10 pezzi di informazioni che sono stati usati per rubare la tua identità Secondo l'Ufficio di Giustizia degli Stati Uniti, il furto di identità costò alle vittime oltre 24 miliardi di dollari nel 2012, più del furto delle famiglie, del furto di automobili e della proprietà combinato. Queste 10 informazioni sono ciò che i ladri stanno guardando ... Per saperne di più .

Quindi cosa dovresti fare? Per essere totalmente sicuro, non utilizzare gli abbreviazioni URL per tutto ciò che potrebbe essere prezioso per un hacker, ladro di identità o altro miscredente. Gli abbreviazioni sono davvero utili, ma la maggior parte delle volte, un URL lungo funzionerà perfettamente. È grande, brutto e occupa molto spazio in un'e-mail o in una finestra di chat, ma è anche molto più sicuro.

Inoltre, tieni presente che molti altri servizi offrono un abbreviazione dell'URL e potresti voler fare attenzione anche a quelli. Il modo in cui ognuno di questi servizi gestisce le autorizzazioni con URL abbreviati è probabile che differisca, ma se accidentalmente hai dato accesso a Flickr, Google Foto, Google Drive, Twitter, Facebook o altri post, è difficile sapere cosa accadrà.

Se ti viene data la possibilità di abbreviare un URL con un token che è più lungo di sei o sette caratteri, dovresti accettarlo. I ricercatori hanno detto nel loro articolo che i token di 11 e 12 caratteri utilizzati da Google Maps non sono forzati a forza bruta (almeno con la tecnologia attuale e una quantità ragionevole di sforzi), quindi puntare ad almeno 10 è probabilmente una buona idea.

Oppure basta creare il proprio URL shortener I vantaggi di impostare il proprio URL Shortener e come farlo I vantaggi di impostare il proprio URL Shortener e come farlo In un mondo di 140 caratteri e con una breve attenzione, è necessario Ottieni il maggior numero di testo possibile nel tuo stato di Twitter, se vuoi trasmettere efficacemente il tuo messaggio. Leggi altro e assicurati che utilizzi un numero sufficiente di caratteri nei token URL!

Utilizzi URL Shorteners?

I servizi di accorciamento sembrano essere in aumento in popolarità, con nuovi servizi che spuntano regolarmente. Il limite di 140 caratteri di Twitter e la difficoltà di lavorare con lunghe stringhe di testo sui dispositivi mobili URL Shortener Is The Swiss Knife di condivisione dei collegamenti e salvataggio su Android URL Shortener è il coltello svizzero di condivisione dei collegamenti e salvataggio su Android Ciò che distingue l'URL Shortener è quanto è facile per te salvare i link, copiarli negli appunti o condividerli direttamente da un menu. Leggi di più hanno probabilmente contribuito alla loro utilità, e la possibilità di inviare un link in un formato molto più intuitivo per gli spettatori è certamente allettante. Non si discute sul fatto che siano molto convenienti, ma la convenienza potrebbe non valerne il rischio.

Usi un servizio di abbreviazione URL? Quale usi? Lo usi per documenti sensibili o solo per link accessibili pubblicamente? Sei preoccupato per la sicurezza dei tuoi link? Condividi i tuoi pensieri qui sotto!

Crediti immagine: Georgiev e Shmatikov via arXiv.

Scopri di più su: Sicurezza online, accorciatore di URL.