Vaarantavatko lyhennetyt linkit turvallisuutesi?

Mainos

URL-lyhenteet Kokeile 10 erilaista URL-lyhennystä, jotka antavat sinulle lisäetujaKuinka eri tavalla voit lyhentää yhtenäistä resurssivaihtoehtoa? No, lyhennysjärjestelmä on melko pitkälle valmistettu työ, mutta temppu näyttää olevan lyhennyspalvelun mukana tulevissa ekstreissä ... Lue lisää kuten bit.ly, goo.gl, tinyurl ja ow.ly ovat loistavia helpottamaan linkkien jakamista; sinun ei tarvitse liittää todella pitkää, rumaa URL-osoitetta chat-ikkunaan tai sähköpostiin, jotta joku löytää tiensä sivulle, johon haluat heidän pääsevän. Mutta äskettäinen tutkimus osoitti, että tästä mukavuudesta voi tulla huomattavia kustannuksia turvallisuudellesi.

Tutkimus

Kaksi Cornell Techin tutkijaa tarkasteli 18 kuukauden aikana lyhennettyjä URL-osoitteita, jotka on luonut kaksi eri palvelua: Microsoft OneDrive ja Google Maps. Molemmat palvelut luovat lyhennetyt linkit verkkosivujen jakamiseen (OneDrive käyttää niitä asiakirjojen käyttöoikeuksien jakamiseen ja Google Maps käyttää niitä ohjeiden tai sijaintien jakamiseen).

Koska näissä lyhentetyissä linkkeissä on käytetty vain vähän merkkejä, tutkijat pystyivät käyttämään raa'ata voimahyökkäystä löytääkseen lyhennetyt URL-osoitteet, jotka linkittävät todellisiin asiakirjoihin. Tutkijat analysoivat 100 000 000 bit.ly URL-osoitetta satunnaisesti valituilla kuuden merkin merkeillä (kuten “1maQ2JZ”). 42% kaikista tunnuksista ratkaisi todelliset täydelliset URL-osoitteet, ja lähes 19 500 niistä toi OneDrive-asiakirjoihin.

Tutkijat löysivät myös melkein 24 000 000 live-linkkiä skannattaessaan viiden merkin merkkejä, joita goo.gl/maps oli aiemmin käyttänyt, joista noin 10% oli ajo-ohjeita.

OneDrive-asiakirjojen ja Google Maps -ohjeiden käyttö on tarpeeksi huono, mutta tutkijat havaitsivat, että he voisivat tehdä entistä enemmän kyseisistä linkeistä palautetun tiedon avulla. Esimerkiksi analysoimalla OneDrive-URL-osoitteiden vakiorakennetta, he pystyivät liikkumaan ja saamaan pääsyn useisiin OneDrive-tileihin, joista monet jotka he löysivät tosiasiallisesti kirjoitettaviksi, mikä tarkoittaa, että he voivat muuttaa tiedostoja tai ladata haittaohjelmia, jotka ladataan automaattisesti omistajan tiedostoihin tietokone.

Ja Google Mapsin avulla tutkijat löysivät paljon tietoa, jonka ihmiset todennäköisesti haluaisivat pitää yksityisenä. Tarkastelemalla asuinosoitteita, he voisivat tehdä koulutettuja arvauksia siitä, mihin kotitalouksiin kuuluu henkilö, joka meni erikoisklinikoille lääketieteelliseen hoitoon, riippuvuushoitokeskuksiin, strip-clubiin ja abortin tarjoajiin. On osoitettu, että sijaintitiedot ovat erittäin arvokkaita Mitä valtion turvallisuusvirastot voivat kertoa puhelimesi metatiedoista? Lue lisää hankkimalla yksilöiviä tietoja yksilöille, ja kyseinen tieto yhdistettynä eräänlaiseen lyhennettyyn matkahistoriaan voi olla erittäin hyödyllinen henkilöllisyysvarkaille.

Jos haluat nähdä julkaisun kokonaisen artikkelin, voit tarkista se osoitteessa arXiv, ja yksi tutkijoista julkaisi myös blogin viesti hyödyllisen yhteenvedon kanssa.

Muutokset tehty

Cornell Tech -tutkijat jakoivat tuloksensa Microsoftin ja Googlen kanssa, ja molemmat yritykset ovat ryhtyneet toimiin vähentääkseen todennäköisyyttä, että lyhennetyt URL-osoitteet vaarantavat niiden käyttäjät.

URL-osoitteen lyhennys poistettiin OneDrive-käyttöliittymästä, ja menetelmä, jolla lisätietoja käyttäjän tilistä saadaan enää, toimii (huolimatta Microsoftin kiistämästä, että muutoksilla oli mitään tekemistä tämän raportin kanssa tai että tutkimus paljasti jopa tietoturvan haavoittuvuus). Vanhat lyhennetyt linkit ovat kuitenkin edelleen haavoittuvia.

Google Maps käyttää nyt 11- ja 12-merkkisiä merkkejä aikaisemmin tarjottujen viisimerkkisten sijasta, mikä tekee niistä huomattavasti vaikeamman paljastaa raa'alla voimahyökkäyksellä. Google vaikeutti myös valtavan määrän URL-osoitteiden tarkistamista kerralla.

Ole varovainen

Vaikka nämä kaksi yksikköä ovatkin ryhtyneet toimenpiteisiin uhan vähentämiseksi, linkkien lyhennysprosessissa havaitaan todennäköisesti enemmän haavoittuvuuksia joskus tulevaisuudessa (enemmän ja tehokkaampia tietokoneita Kvantitietokoneet: Salauksen loppuminen?Kvanttilaskenta ideana on ollut olemassa jo jonkin aikaa - teoreettinen mahdollisuus otettiin alun perin käyttöön vuonna 1982. Viime vuosina kenttä on ollut lähempänä käytännöllisyyttä. Lue lisää auttaa varmasti). Kun tarkistin äskettäin, käyttivätkö suositut lyhennyspalvelut pieniä määriä merkkejä niiden tokeneissa, sekä omassa että tinyurlissa oli kuuden merkin merkit, ja bit.ly käyttivät seitsemää.

Vaikka molemmat ovat parempia kuin Googlen aikaisemmat viisi, on edelleen huolestuttavaa, että ihmiset voivat lähettää pääsyn tärkeisiin tiedostoihin tai henkilökohtaisiin tietoihin tällä tavalla. Cornell Techin tutkijat osoittivat, että näiden URL-osoitteiden yksinkertainen julma tarkistus voi paljastaa yllättävän määrän tietoja tietyistä käyttäjistä, mukaan lukien muutama tärkeimmät tiedot henkilöllisyysvarkauksista 10 kappaletta tietoa, jota käytetään henkilöllisyytesi varastamiseenHenkilöllisyysvarkaudet voivat olla kalliita. Tässä on 10 tietoa, joita sinun on suojattava, jotta henkilöllisyyttäsi ei varastettaisi. Lue lisää .

Joten mitä sinun pitäisi tehdä? Ollaksesi täysin turvallisia, älä käytä URL-lyhenteitä mihinkään, mikä voi olla arvokasta hakkereille, henkilöllisyysvarkaille tai muille väärinkäyttäjille. Lyhenteet ovat todella hyödyllisiä, mutta pitkä URL-osoite toimii yleensä hyvin. Se on iso, ruma ja vie paljon tilaa sähköposti- tai chat-ikkunassa, mutta on myös paljon turvallisempaa.

Huomaa myös, että monet muut palvelut tarjoavat URL-osoitteiden lyhennystä, ja sinun kannattaa olla varovainen myös niiden kanssa. Se, kuinka kukin näistä palveluista käsittelee lyhennettyjen URL-osoitteiden käyttöoikeuksia, todennäköisesti eroaa, mutta jos olet antanut vahingossa pois käytöstä Flickr-, Google Photos-, Google Drive-, Twitter-, Facebook- tai muihin viesteihin, on vaikea tietää mitä tapahtua.

Jos sinulle annetaan mahdollisuus lyhentää URL-osoitetta, jonka tunnus on yli kuusi tai seitsemän merkkiä, sinun on otettava se. Tutkijat sanoivat paperissaan, että Google Mapsin käyttämät 11- ja 12-merkkiset tunnukset eivät ole raa'asti pakotettavissa (ainakin nykyisellä tekniikalla ja kohtuullisella vaivalla), joten vähintään 10: n tavoittelu on todennäköisesti hyvä idea.

Tai vain tee oma URL-osoitin Oman URL-osoittimen asentamisen edut ja miten se tehdäänMaailmassa, jossa on 140 merkkiä ja lyhyet huomiovälit, sinun täytyy saada mahdollisimman paljon tekstiä Twitter-tilasi, jos aiot lähettää viestisi tehokkaasti. Lue lisää ja varmista, että se käyttää tarpeeksi merkkejä URL-osoitteissaan!

Käytätkö URL-lyhenteitä?

Palvelujen lyhentäminen näyttää kasvavan suosion myötä, ja uudet palvelut ilmestyvät säännöllisesti. Twitterin 140 merkin rajoitus ja vaikeudet työskentely pitkillä tekstijonoilla mobiililaitteilla URL Shortener on sveitsiläinen veitsi linkkien jakamiseen ja tallentamiseen AndroidillaURL Shortener erottaa toisistaan ​​sen, kuinka helppoa on linkkien tallentaminen, kopioiminen leikepöydälle tai jakaminen suoraan valikosta. Lue lisää ovat todennäköisesti vaikuttaneet niiden hyödyllisyyteen, ja kyky lähettää linkki paljon katsojaystävällisemmässä muodossa on varmasti houkutteleva. Ei ole väitettä siitä, että ne ovat erittäin käteviä, mutta mukavuus ei välttämättä ole riskin arvoinen.

Käytätkö URL-osoitteiden lyhennyspalvelua? Kumpaa käytät? Käytätkö sitä arkaluontoisiin asiakirjoihin vai vain julkisesti saatavilla oleviin linkkeihin? Oletko huolissasi linkkiesi turvallisuudesta? Jaa ajatuksesi alla!

Kuvahyvitykset: Georgiev ja Shmatikov arXivin kautta.