Er forkortede lenker kompromittert med sikkerheten din?
URL shorteners Prøv 10 forskjellige URL-kort som gir deg Addon-fordeler, prøv 10 forskjellige URL-kort som gir deg Addon-fordeler Hvor annerledes kan du forkorte en ensartet ressurslokaliser? Vel, forkortingssystemet er ganske mye en arbeidsløs jobb, men trikset synes å være i tilleggene som følger med forkortingstjenesten ... Les mer som bit.ly, goo.gl, tinyurl og ow. Ly er flott for å gjøre det enklere å dele lenker; du trenger ikke å lime inn en veldig lang, stygg URL til et chatvindu eller en e-post for å hjelpe noen å finne veien til siden du vil at de skal komme til. Men en nylig studie viste at denne bekvemmeligheten kunne komme med en betydelig kostnad for sikkerheten din.
Studien
I løpet av 18 måneder så to forskere ved Cornell Tech på de forkortede nettadressene som ble opprettet av to forskjellige tjenester: Microsoft OneDrive og Google Maps. Begge tjenestene oppretter forkortede koblinger for deling av nettsider (OneDrive bruker dem til å dele tilgang til dokumenter, og Google Maps bruker dem til å dele retninger eller steder).
På grunn av det lille antallet tegn som brukes i disse forkortede koblingene, kunne forskerne bruke et brute force-angrep for å finne forkortede nettadresser som er knyttet til faktiske dokumenter. Forskerne analyserte 100.000.000 bit.ly webadresser med tilfeldig valgte seks tegnstegn (som “1maQ2JZ”). 42% av alle tokens ble løst til faktiske hele nettadresser, og nesten 19.500 av dem førte til OneDrive-dokumenter.
Forskerne fant også nesten 24.000.000 levende koblinger når man skannet de fem tegnkarakteristikkene som tidligere ble brukt av goo.gl/maps, hvorav ca 10% var for kjøreanvisninger.
Å få tilgang til OneDrive-dokumenter og Google Maps-retninger er dårlig nok, men forskerne oppdaget at de kunne gjøre enda mer med informasjonen de gjenvunnet fra disse koblingene. For eksempel ved å analysere standardstrukturen for OneDrive-nettadresser, kunne de navigere og få tilgang til en rekke OneDrive-kontoer, hvorav mange fantes, var faktisk skrivbar, noe som betyr at de kunne endre filer eller laste opp skadelig programvare som automatisk lastes ned til eierens datamaskin.
Og med Google Maps oppdaget forskerne mye informasjon som folk sannsynligvis vil holde privat. Ved å se på boligadresser kunne de gjøre utdannede gjetninger om hvilke husholdninger som inkluderte en person som gikk til spesialistklinikker for medisinsk behandling, avhengighetsbehandlingssentre, stripklubber og abortleverandører. Det har blitt vist at lokasjonsinformasjon er svært verdifullt. Hva kan Statens sikkerhetsbyråer Fortell fra telefonens metadata? Hva kan offentlige sikkerhetsbyråer si fra telefonens metadata? Les mer i å få identifiserende informasjon for enkeltpersoner, og at informasjon kombinert med en slags forkortet reisehistorikk kan være svært nyttig for identitetstyver.
Hvis du vil se den fullstendige artikkelen, kan du sjekke det ut på arXiv, og en av forskerne publiserte også et blogginnlegg med et nyttig sammendrag..
Endringer gjort
Cornell Tech-forskerne delte sine resultater med Microsoft og Google, og begge selskapene har tatt skritt for å redusere sannsynligheten for at brukerne kan bli truet av forkortede nettadresser.
Nettadressekort ble fjernet fra OneDrive-grensesnittet, og metoden som brukes til å få mer informasjon om brukerens konto virker ikke lenger (til tross for Microsofts nektelse at endringene deres hadde noe å gjøre med denne rapporten eller at studien selv viste et sikkerhetsproblem). Gamle forkortede lenker forblir imidlertid sårbare.
Google Maps bruker nå 11- og 12 tegn-tokens i stedet for de fem tegnene som tilbys før, noe som gjør det betydelig vanskeligere å avsløre dem med et brutalt kraftangrep. Google gjorde det også vanskeligere for et stort antall nettadresser å bli skannet samtidig.
Vær forsiktig
Selv om disse to tjenestene har tatt skritt for å redusere trusselen, vil muligheten for flere sårbarheter i koblingsforkortingsprosessen sannsynligvis bli funnet en gang i fremtiden (flere og flere kraftige datamaskiner Quantum Computers: End of Cryptography? Quantum Computers: The Endelig kryptografi? Kvantumberegning som en ide har eksistert en stund - den teoretiske muligheten ble opprinnelig innført i 1982. I løpet av de siste årene har feltet gått nærmere praktisk. Les mer vil sikkert hjelpe). Når jeg nylig sjekket for å se om populært forkortetjenester brukte lite antall tegn i sine tokens, hadde både ow.ly og tinyurl seks tegnstifter, og litt brukt sju.
Selv om begge er bedre enn Googles forrige fem, er det fortsatt bekymrende at folk kunne sende tilgang til viktige filer eller personlig informasjon på denne måten. Cornell Tech-forskerne viste at en enkel brute-kraft-skanning av disse nettadressene kan avsløre en overraskende mengde informasjon om bestemte brukere, inkludert noen av de viktigste informasjonsstykkene for identitetstyveri 10 stykker informasjon som brukes til å stjele identiteten din 10 stykker informasjon som brukes til å stjele din identitet Ifølge det amerikanske justisdepartementet koster identitetstyveri over 24 milliarder dollar i 2012, mer enn husholdningsinnbrudd, motor og eiendomstyveri kombinert. Disse 10 stykkene av informasjon er hvilke tyver ser ... Les mer .
Så hva skal du gjøre? For å være helt trygg, bruk ikke nettadressekort for noe som kan være verdifullt for en hacker, identitetstyv eller annen feil. Shorteners er veldig nyttige, men det meste av tiden vil en lang URL fungere helt fint. Det er stort, styggt, og tar opp mye plass i et e-post- eller chat-vindu, men det er også mye tryggere.
Vær også oppmerksom på at mange andre tjenester tilbyr URL-korting, og du vil kanskje være forsiktig med de også. Hvordan hver av disse tjenestene håndterer tillatelser med forkortede nettadresser, vil sannsynligvis variere, men hvis du ved et uhell ga bort tilgang til en Flickr, Google Foto, Google Disk, Twitter, Facebook eller annet innlegg, er det vanskelig å vite hva som vil skje.
Hvis du får valget om å forkorte en URL med et token som er lengre enn seks eller syv tegn, bør du ta det. Forskerne sa i deres papir at de 11- og 12-tegnskiltene som brukes av Google Maps, ikke er brute-forceable (minst med dagens teknologi og en rimelig innsats), så siktet på minst 10 er sannsynligvis en god ide.
Eller bare lag din egen URL-forkortelse Fordelene med å sette opp din egen URL-kortmaker og hvordan du gjør det Fordelene med å sette opp din egen URL-kortmaker og hvordan du gjør det I en verden på 140 tegn, og korte oppslag spenner, må du Få så mye tekst som mulig i din Twitter-status, hvis du skal effektivisere meldingen din på tvers. Les mer og sørg for at den bruker nok tegn i URL-tokens!
Bruker du URL-kort?
Avkortingstjenester synes å være i økende popularitet, med nye tjenester som dukker opp regelmessig. Twitter-grensen for 140 tegn og vanskeligheten med å jobbe med lange tekststrenger på mobilenheter URL Shortener er den sveitsiske kniven av kobling deling og lagring på Android URL Shortener er den sveitsiske kniven av Link Sharing og lagring på Android Hva setter URL Shortener fra hverandre er hvor enkelt det gjør det for deg å lagre koblinger, kopiere dem til et utklippstavle, eller dele dem direkte fra en meny. Les mer har sannsynligvis bidratt til deres brukbarhet, og evnen til å sende en lenke i et mye mer seervennlig format er absolutt tiltalende. Det er ingen som argumenterer for at de er veldig praktiske, men bekvemmeligheten kan ikke være verdt risikoen.
Bruker du en URL-kortingstjeneste? Hvilken bruker bruker du? Bruker du det for sensitive dokumenter, eller bare for offentlig tilgjengelige lenker? Er du nå bekymret for sikkerheten til koblingene dine? Del dine tanker nedenfor!
Bildekreditter: Georgiev og Shmatikov via arXiv.
Utforsk mer om: Online Security, URL Shortener.