Zkrácené odkazy ohrožují vaši bezpečnost?

reklama

URL zkrácení Vyzkoušejte 10 různých zkrácovačů adres URL, díky nimž získáte další výhodyJak odlišně můžete zkrátit jednotný vyhledávač zdrojů? No, systém zkracování je do značné míry běžná práce, ale trik se zdá být v kompartech, které přicházejí se službou zkracování ... Přečtěte si více jako bit.ly, goo.gl, tinyurl a ow.ly jsou skvělé pro usnadnění sdílení odkazů; nemusíte do okna chatu ani do e-mailu vkládat opravdu dlouhou ošklivou adresu URL, abyste někomu pomohli najít cestu na stránku, na kterou se chtějí dostat. Nedávná studie však ukázala, že toto pohodlí může mít pro vaši bezpečnost značné náklady.

Studie

V průběhu 18 měsíců se dva vědci v Cornell Tech podívali na zkrácené adresy URL vytvořené dvěma různými službami: Microsoft OneDrive a Google Maps. Obě služby vytvářejí zkrácené odkazy pro sdílení webových stránek (OneDrive je používá ke sdílení přístupu k dokumentům a Mapy Google je používá ke sdílení směrů nebo míst).

Vzhledem k malému počtu znaků použitých v těchto zkrácených odkazech byli vědci schopni použít útok hrubou silou k nalezení zkrácených adres URL, které odkazují na skutečné dokumenty. Vědci analyzovali 100 000 000 bit.ly adres URL náhodně vybranými šesti znakovými tokeny (jako „1maQ2JZ“). 42% všech tokenů přešlo na skutečné úplné adresy URL a téměř 19 500 z nich vedlo k dokumentům OneDrive.

Vědci také našli téměř 24 000 000 živých odkazů při skenování pěti znakových tokenů, které dříve používaly goo.gl/maps, z nichž asi 10% bylo určeno pro směr jízdy.

Získání přístupu k dokumentům OneDrive a trasám Map Google je dost špatné, ale vědci zjistili, že s informacemi, které získali z těchto odkazů, by mohli udělat ještě více. Například analýzou standardní struktury adres URL OneDrive se jim podařilo navigovat a získat přístup k řadě účtů OneDrive, mnoha z nich které zjistili, že jsou skutečně zapisovatelné, což znamená, že mohou změnit soubory nebo nahrát malware, který by se automaticky stáhl do majitele počítač.

A s Mapami Google vědci objevili spoustu informací, které by lidé pravděpodobně chtěli udržet v soukromí. Když se podívali na adresy bydliště, mohli udělat vzdělané odhady, které domácnosti zahrnovaly osobu, která šel na speciální kliniky pro lékařské ošetření, centra pro léčbu závislostí, strip kluby a poskytovatele potratů. Ukázalo se, že informace o poloze jsou velmi cenné Co mohou vládní bezpečnostní agentury říct z metadat vašeho telefonu? Přečtěte si více při získávání identifikačních informací pro jednotlivce a tyto informace kombinované s jakoukoli zkrácenou historií cestování by mohly být pro zloděje identity velmi užitečné.

Pokud chcete vidět celý publikovaný článek, můžete podívejte se na to na arXiv, a jeden z vědců také publikoval a blogový příspěvek s užitečným shrnutím.

Změny provedeny

Vědci společnosti Cornell Tech sdíleli své výsledky se společnostmi Microsoft a Google a obě společnosti podnikly kroky ke snížení pravděpodobnosti, že by jejich uživatelé mohli být ohroženi zkrácenými adresami URL.

Zkrácení adresy URL bylo z rozhraní OneDrive odstraněno a metoda použitá k získání více informací o uživatelském účtu již nebyla funguje (navzdory popření společnosti Microsoft, že jejich změny mají co do činění s touto zprávou nebo že studie dokonce odhalila zabezpečení zranitelnost). Staré zkrácené odkazy však zůstávají zranitelné.

Mapy Google nyní využívají 11- a 12-znakové tokeny místo těch, které byly dříve nabízeny, a proto je mnohem těžší odhalit je útokem hrubou silou. Google také ztěžoval skenování velkého počtu adres URL najednou.

Buďte opatrní

Přestože tyto dvě služby podnikly kroky ke zmírnění hrozby, pravděpodobnost, že v procesu zkrácení propojení bude více zranitelností, bude pravděpodobně nalezena někdy v budoucnu (stále výkonnější počítače Kvantové počítače: konec kryptografie?Kvantová výpočetní technika jako nápad již nějakou dobu existuje - teoretická možnost byla původně zavedena v roce 1982. V posledních několika letech se toto pole blíží praktičnosti. Přečtěte si více jistě pomůže). Když jsem nedávno zkontroloval, zda populární zkrácené služby ve svých žetonech používají malé počty znaků, měl jak ow.ly, tak tinyurl šestiznakové tokeny, a bit.ly použil sedm.

I když jsou oba lepší než těch předchozích pět, stále se obává, že by lidé mohli tímto způsobem zasílat přístup k důležitým souborům nebo osobním informacím. Výzkumníci společnosti Cornell Tech prokázali, že jednoduché skenování těchto adres URL hrubou silou může odhalit překvapivé množství informací o konkrétních uživatelích, včetně několika z nich nejdůležitější informace pro krádež identity 10 kusů informací, které se používají k odcizení vaší identityKrádež identity může být nákladná. Zde je 10 informací, které musíte chránit, aby nedošlo k odcizení vaší identity. Přečtěte si více .

Co byste tedy měli dělat? Chcete-li být zcela v bezpečí, nepoužívejte zkracování adres URL na nic, co by mohlo být užitečné pro hackera, zloděje identity nebo jiného špatně vytvořeného. Zkracování jsou opravdu užitečná, ale po většinu času bude dlouhá URL fungovat dobře. Je to velké, ošklivé a zabírá hodně místa v okně e-mailu nebo chatu, ale je také mnohem bezpečnější.

Také si uvědomte, že mnoho dalších služeb nabízí zkrácení URL, a možná budete chtít být s nimi opatrní. Způsob, jakým každá z těchto služeb zpracovává oprávnění se zkrácenými adresami URL, se pravděpodobně bude lišit, ale pokud jste to omylem dali vzdálený přístup k Flickru, Fotky Google, Disku Google, Twitteru, Facebooku nebo jinému příspěvku, je těžké vědět, co bude přihodit se.

Pokud máte možnost zkrátit adresu URL tokenem, který je delší než šest nebo sedm znaků, měli byste ji vzít. Vědci ve svém příspěvku uvedli, že tokeny o 11 a 12 znakech používané v Mapách Google nejsou brutálně vynutitelné (přinejmenším se současnou technologií a přiměřeným úsilím), takže zaměřování na nejméně 10 je pravděpodobně dobré idea.

Nebo prostě vytvořte si vlastní zkrácení adresy URL Výhody nastavení vlastního zkracování URL a jak na toVe světě 140 znaků a krátké pozornosti se musíte dostat do svého stavu Twitteru co nejvíce textu, pokud se chystáte efektivně šířit vaši zprávu. Přečtěte si více a ujistěte se, že ve svých tokenech URL používá dostatek znaků!

Používáte zkracování URL?

Zdá se, že služby zkrácení rostou na popularitě a pravidelně se objevují nové služby. Twitter je 140 znaků a obtížnost práce s dlouhými řetězci textu na mobilních zařízeních URL Shortener je švýcarský nůž sdílení odkazů a ukládání na AndroidTo, co odlišuje URL Shortener, je, jak snadné je ukládat odkazy, kopírovat je do schránky nebo je sdílet přímo z nabídky. Přečtěte si více pravděpodobně přispěly k jejich užitečnosti a schopnost poslat odkaz v mnohem přátelštějším formátu pro diváky je určitě lákavá. Nelze argumentovat, že jsou velmi pohodlné, ale pohodlí nemusí být za riziko.

Používáte službu zkracování adres URL? Který z nich používáte? Používáte jej pro citlivé dokumenty nebo pouze pro veřejně přístupné odkazy? Máte nyní obavy o zabezpečení vašich odkazů? Podělte se o své myšlenky níže!

Obrazové kredity: Georgiev a Shmatikov přes arXiv.