Os links encurtados comprometem sua segurança?

Propaganda

Encurtadores de URL Experimente 10 encurtadores de URL diferentes que oferecem benefícios adicionaisQuão diferente você pode reduzir um localizador uniforme de recursos? Bem, o sistema de encurtamento é praticamente um trabalho comum, mas o truque parece estar nos extras que acompanham o serviço de encurtamento ... consulte Mais informação como bit.ly, goo.gl, tinyurl e ow.ly são ótimos para facilitar o compartilhamento de links; você não precisa colar um URL muito longo e feio em uma janela de bate-papo ou em um e-mail para ajudar alguém a encontrar o caminho para a página em que deseja acessar. Mas um estudo recente mostrou que essa conveniência pode trazer um custo significativo à sua segurança.

O estudo

Ao longo de 18 meses, dois pesquisadores da Cornell Tech analisaram os URLs reduzidos criados por dois serviços diferentes: Microsoft OneDrive e Google Maps. Ambos os serviços criam links reduzidos para o compartilhamento de páginas da web (o OneDrive os usa para compartilhar o acesso a documentos e o Google Maps os usa para compartilhar direções ou locais).

Devido ao pequeno número de caracteres usados ​​nesses links encurtados, os pesquisadores foram capazes de usar um ataque de força bruta para encontrar URLs encurtados vinculados a documentos reais. Os pesquisadores analisaram 100.000.000 de URLs bit.ly com tokens de seis caracteres escolhidos aleatoriamente (como "1maQ2JZ"). 42% de todos os tokens foram resolvidos para URLs completos reais e quase 19.500 deles levaram a documentos do OneDrive.

Os pesquisadores também encontraram quase 24.000.000 de links ao vivo ao digitalizar os tokens de cinco caracteres usados ​​anteriormente pelo goo.gl/maps, cerca de 10% dos quais eram para orientações de direção.

Obter acesso aos documentos do OneDrive e às direções do Google Maps já é ruim o suficiente, mas os pesquisadores descobriram que poderiam fazer ainda mais com as informações recuperadas desses links. Por exemplo, analisando a estrutura padrão dos URLs do OneDrive, eles conseguiram navegar e obter acesso a várias contas do OneDrive, muitas delas que eles acharam realmente graváveis, o que significa que eles poderiam alterar arquivos ou fazer upload de malware que seria baixado automaticamente para o proprietário. computador.

E com o Google Maps, os pesquisadores descobriram muitas informações que as pessoas provavelmente desejariam manter em sigilo. Ao olhar para endereços residenciais, eles poderiam fazer palpites sobre quais famílias incluíam uma pessoa que foi a clínicas especializadas em tratamento médico, centros de tratamento de dependência, clubes de strip-tease e provedores de aborto. Foi demonstrado que informações de localização são muito valiosas O que as agências de segurança governamentais podem dizer dos metadados do seu telefone? consulte Mais informação na obtenção de informações de identificação para indivíduos, e essas informações combinadas com uma espécie de histórico de viagens abreviado podem ser muito úteis para ladrões de identidade.

Se você quiser ver o artigo completo publicado, poderá confira no arXiv, e um dos pesquisadores também publicou um postagem do blog com um resumo útil.

Alterações efetuadas

Os pesquisadores da Cornell Tech compartilharam seus resultados com a Microsoft e o Google, e as duas empresas tomaram medidas para diminuir a probabilidade de seus usuários serem comprometidos por URLs reduzidos.

O encurtamento de URL foi removido da interface do OneDrive e o método usado para obter mais informações sobre a conta do usuário não é mais funciona (apesar da negação da Microsoft de que suas alterações tenham algo a ver com este relatório ou que o estudo tenha revelado uma segurança vulnerabilidade). Os links encurtados antigos, no entanto, permanecem vulneráveis.

O Google Maps agora usa tokens de 11 e 12 caracteres em vez dos de cinco caracteres oferecidos anteriormente, tornando significativamente mais difícil revelá-los com um ataque de força bruta. O Google também dificultou a digitalização de um grande número de URLs de uma só vez.

Fique Cuidado

Embora esses dois serviços tenham tomado medidas para atenuar a ameaça, a possibilidade de mais vulnerabilidades no processo de redução de links provavelmente será encontrada em algum momento no futuro (computadores cada vez mais poderosos Computadores quânticos: o fim da criptografia?A computação quântica como uma idéia existe há algum tempo - a possibilidade teórica foi originalmente introduzida em 1982. Nos últimos anos, o campo tem se aproximado da praticidade. consulte Mais informação certamente ajudará). Quando verifiquei recentemente se os serviços populares de encurtamento estavam usando um pequeno número de caracteres em seus tokens, ow.ly e tinyurl tinham tokens de seis caracteres e bit.ly usava sete.

Embora ambos sejam melhores que os cinco anteriores do Google, ainda é preocupante que as pessoas possam estar enviando acesso a arquivos ou informações pessoais importantes dessa maneira. Os pesquisadores da Cornell Tech demonstraram que uma simples varredura por força bruta desses URLs pode revelar uma quantidade surpreendente de informações sobre usuários específicos, incluindo algumas das informações mais importantes para roubo de identidade 10 informações que são usadas para roubar sua identidadeO roubo de identidade pode ser caro. Aqui estão as 10 informações que você precisa proteger para que sua identidade não seja roubada. consulte Mais informação .

Então o que você deveria fazer? Para ser totalmente seguro, não use encurtadores de URL para algo que possa ser valioso para um hacker, ladrão de identidade ou outro criminoso. Os encurtadores são realmente úteis, mas na maioria das vezes, um URL longo funcionará bem. É grande, feio e ocupa muito espaço em uma janela de e-mail ou bate-papo, mas também é muito mais seguro.

Além disso, esteja ciente de que muitos outros serviços oferecem encurtamento de URL e você também pode ter cuidado com eles. É provável que cada um desses serviços lide com permissões com URLs encurtados, mas se você deu acidentalmente acesso remoto a um Flickr, Google Fotos, Google Drive, Twitter, Facebook ou outra postagem, é difícil saber o que acontecer.

Se você tiver a opção de reduzir um URL com um token com mais de seis ou sete caracteres, faça o mesmo. Os pesquisadores disseram em seu artigo que os tokens de 11 e 12 caracteres usados ​​pelo Google Maps não são brutais. (pelo menos com a tecnologia atual e uma quantidade razoável de esforço), portanto, apontar para pelo menos 10 é provavelmente uma boa idéia.

Ou apenas crie seu próprio encurtador de URL As vantagens de configurar seu próprio encurtador de URL e como fazê-loEm um mundo de 140 caracteres e com pouca atenção, você precisa obter o máximo de texto possível em seu status no Twitter, se quiser transmitir sua mensagem com eficiência. consulte Mais informação e verifique se ele usa caracteres suficientes em seus tokens de URL!

Você usa encurtadores de URL?

Os serviços de redução parecem estar aumentando em popularidade, com novos serviços aparecendo regularmente. O limite de 140 caracteres do Twitter e a dificuldade de trabalhando com longas sequências de texto em dispositivos móveis O encurtador de URL é a faca suíça de compartilhamento e economia de links no AndroidO que diferencia o URL Shortener é como é fácil salvar links, copiá-los para uma área de transferência ou compartilhá-los diretamente de um menu. consulte Mais informação provavelmente contribuíram para a sua utilidade, e a capacidade de enviar um link em um formato muito mais agradável para os visitantes é certamente atraente. Não há como argumentar que eles são muito convenientes, mas a conveniência pode não valer o risco.

Você usa um serviço de redução de URL? Qual deles você usa? Você o usa para documentos confidenciais ou apenas para links acessíveis ao público? Agora você está preocupado com a segurança de seus links? Compartilhe seus pensamentos abaixo!

Créditos de imagem: Georgiev e Shmatikov via arXiv.