Delen:
Zijn verkorte links uw veiligheid schaden?
URL-verkorters Probeer 10 verschillende URL-verkorters uit die u extra voordelen geven Probeer 10 verschillende URL-verkorters uit die u extra voordelen geven Hoe verschillend kunt u een uniforme resource locator verkorten? Welnu, het verkortingssysteem is zo ongeveer een gewone klus, maar de truc lijkt te liggen in de extra's die bij de verkortingsdienst zitten ... Lees meer zoals bit.ly, goo.gl, tinyurl, ow. zijn goed voor het eenvoudiger delen van links; je hoeft geen echt lange, lelijke URL in een chatvenster of e-mail te plakken om iemand te helpen de weg te vinden naar de pagina die je wilt. Maar een recent onderzoek heeft aangetoond dat dit gemak aanzienlijke kosten voor uw veiligheid met zich mee kan brengen.
De studie
In de loop van 18 maanden keken twee onderzoekers van Cornell Tech naar de verkorte URL's die door twee verschillende services werden gemaakt: Microsoft OneDrive en Google Maps. Beide services maken kortere koppelingen voor het delen van webpagina's (OneDrive gebruikt ze om toegang tot documenten te delen en Google Maps gebruikt ze om routebeschrijvingen of locaties te delen).
Vanwege het kleine aantal tekens dat in deze verkorte koppelingen werd gebruikt, konden de onderzoekers een brute force-aanval gebruiken om kortere URL's te vinden die gekoppeld waren aan werkelijke documenten. De onderzoekers analyseerden 100.000.000 bit.ly URL's met willekeurig gekozen tokens met zes tekens (zoals “1maQ2JZ”). 42% van alle tokens is omgezet in werkelijke volledige URL's en bijna 19.500 daarvan hebben geleid tot OneDrive-documenten.
De onderzoekers vonden ook bijna 24.000.000 live links bij het scannen van de vijf-karakter-tokens die eerder werden gebruikt door goo.gl/maps, waarvan ongeveer 10% voor routebeschrijvingen.
Het is al erg genoeg om toegang te krijgen tot OneDrive-documenten en de instructies van Google Maps, maar de onderzoekers ontdekten dat ze nog meer konden doen met de informatie die ze van die links hadden hersteld. Door bijvoorbeeld de standaardstructuur van OneDrive-URL's te analyseren, konden ze navigeren en toegang krijgen tot een aantal OneDrive-accounts, waarvan velen vonden dat ze daadwerkelijk beschrijfbaar waren, wat betekent dat ze bestanden konden wijzigen of malware konden uploaden die automatisch zou worden gedownload naar de computer van de eigenaar.
En met Google Maps ontdekten de onderzoekers heel wat informatie die mensen waarschijnlijk privé willen houden. Door naar woonadressen te kijken, konden ze goed inschatten welke huishoudens een persoon waren die naar gespecialiseerde klinieken ging voor medische behandeling, verslavingszorgcentra, stripclubs en abortusaanbieders. Het is aangetoond dat locatie-informatie zeer waardevol is. Wat kunnen overheidsbeveiligingsinstanties vertellen aan de hand van de metagegevens van uw telefoon? Wat kunnen overheidsbeveiligingsinstanties vertellen aan de hand van de metagegevens van uw telefoon? Lees meer bij het verkrijgen van identificerende informatie voor individuen, en die informatie in combinatie met een soort verkorte reisgeschiedenis zou erg handig kunnen zijn om dieven te identificeren.
Als u het volledige gepubliceerde artikel wilt zien, kunt u het bekijken bij arXiv, en een van de onderzoekers heeft ook een blogpost gepubliceerd met een nuttige samenvatting.
Veranderingen gemaakt
De Cornell Tech-onderzoekers deelden hun resultaten met Microsoft en Google en beide bedrijven hebben stappen ondernomen om de kans te verkleinen dat hun gebruikers zouden worden gehackt door verkorte URL's.
URL-verkorting is verwijderd uit de OneDrive-interface en de methode die wordt gebruikt om meer informatie over het account van de gebruiker te krijgen, werkt niet meer (ondanks de ontkenning van Microsoft dat hun wijzigingen iets te maken hadden met dit rapport of dat de studie zelfs een beveiligingsrisico aantoonde). Oude ingekorte koppelingen blijven echter kwetsbaar.
Google Maps gebruikt nu tokens van 11 en 12 tekens in plaats van de vijftallen die eerder werden aangeboden, waardoor het aanzienlijk moeilijker is om ze te onthullen met een brute-force-aanval. Google maakte het ook moeilijker om een groot aantal URL's tegelijk te scannen.
Blijf voorzichtig
Hoewel deze twee services stappen hebben ondernomen om de dreiging te verminderen, zal de mogelijkheid van meer kwetsbaarheden in het proces van link-shortening waarschijnlijk ergens in de toekomst worden gevonden (steeds krachtigere computers Quantum Computers: het einde van de cryptografie Quantum Computers: The Einde van de cryptografie Quantum computing als idee bestaat al een tijdje - de theoretische mogelijkheid werd oorspronkelijk geïntroduceerd in 1982. In de afgelopen paar jaar is het veld dichter bij de uitvoerbaarheid gekomen. Lees meer zal zeker helpen). Toen ik onlangs controleerde of populaire verkortingsdiensten kleine aantallen tekens in hun tokens gebruikten, hadden zowel ow.ly als tinyurl tokens met zes tekens en bit.ly gebruikte zeven.
Hoewel beide beter zijn dan de vorige vijf van Google, maakt het nog steeds zorgen dat mensen op deze manier toegang kunnen krijgen tot belangrijke bestanden of persoonlijke informatie. De onderzoekers van Cornell Tech hebben aangetoond dat een eenvoudige brute-force-scan van deze URL's een verrassende hoeveelheid informatie over specifieke gebruikers kan onthullen, waaronder een paar van de belangrijkste gegevens voor identiteitsdiefstal. 10 stukjes informatie die worden gebruikt om uw identiteit te stelen 10 stukjes informatie die worden gebruikt om uw identiteit te stelen Volgens het Amerikaanse Bureau of Justice kost identiteitsdiefstal meer dan $ 24 miljard in 2012, meer dan inbraak in woningen, motoriek en diefstal van eigendommen. Deze 10 stukjes informatie zijn wat dieven op zoek zijn ... Lees meer .
Dus wat moet je doen? Om volledig veilig te zijn, gebruik je geen URL-shorteners voor iets dat waardevol kan zijn voor een hacker, identiteitsdief of andere onverlaten. Shorteners zijn erg handig, maar meestal werkt een lange URL prima. Het is groot, lelijk en neemt veel ruimte in beslag in een e-mail- of chatvenster, maar het is ook een stuk veiliger.
Houd er ook rekening mee dat veel andere services URL-verkorting bieden en misschien wilt u daar ook voorzichtig mee zijn. Hoe elk van die services omgaat met machtigingen met verkorte URL's is waarschijnlijk anders, maar als je per ongeluk de toegang gaf tot een Flickr, Google Foto's, Google Drive, Twitter, Facebook of andere post, is het moeilijk om te weten wat er zal gebeuren.
Als u de keuze krijgt om een URL in te korten met een token die langer is dan zes of zeven tekens, moet u deze gebruiken. De onderzoekers zeiden in hun paper dat de 11- en 12-tekens die Google Maps gebruikt niet brute-forceable (tenminste met huidige technologie en een redelijke hoeveelheid inspanning), dus streven naar minstens 10 is waarschijnlijk een goed idee.
Of maak gewoon uw eigen URL-verkorter De voordelen van het instellen van uw eigen URL-verkorter en hoe u dit moet doen De voordelen van het instellen van uw eigen URL-verkorter en hoe u dit moet doen In een wereld van 140 tekens en korte aandachtsspanne moet u krijg zo veel mogelijk tekst in uw Twitter-status, als u effectief uw boodschap overbrengt. Lees Meer en zorg ervoor dat het genoeg tekens in zijn URL-tokens gebruikt!
Gebruik je URL-verkortingen?
Verkortingen lijken steeds populairder te worden, met nieuwe diensten die regelmatig opduiken. De limiet van 140 tekens voor Twitter en de moeilijkheid om met lange reeksen tekst op mobiele apparaten te werken URL-verkorter Is het Zwitserse mes van Link delen en opslaan op Android URL-verkleiner Is het Zwitserse mes van Link delen en opslaan op Android Wat onderscheidt URL-verkorter is hoe gemakkelijk het voor u is om links op te slaan, naar een klembord te kopiëren of ze rechtstreeks vanuit een menu te delen. Meer lezen heeft waarschijnlijk bijgedragen tot hun bruikbaarheid, en de mogelijkheid om een link te sturen in een veel meer kijkervriendelijk formaat is zeker aantrekkelijk. Er is geen argument dat ze erg handig zijn, maar het gemak is het risico misschien niet waard.
Gebruik je een URL-verkortingsservice? Welke gebruik je? Gebruikt u het voor gevoelige documenten of alleen voor openbaar toegankelijke links? Maak je je nu zorgen over de veiligheid van je links? Deel je gedachten hieronder!
Afbeeldingscredits: Georgiev en Shmatikov via arXiv.
Meer informatie over: Online beveiliging, URL-verkorter.