Är förkortade länkar kompromisser din säkerhet?

URL shorteners Prova 10 olika URL-kort som ger dig Addon-fördelar Prova 10 olika URL-kort som ger dig Addon-fördelar Hur annorlunda kan du förkorta en enhetlig resurslokaliserare? Tja, förkortningssystemet är i stort sett ett jobbigt jobb, men tricket verkar vara i extrafunktionerna som följer med förkortningstjänsten ... Läs mer som bit.ly, goo.gl, tinyurl och ow. Ly är bra för att göra det enklare att dela länkar. du behöver inte klistra in en riktigt lång, ful webbadress i ett chattfönster eller ett email för att hjälpa någon att hitta sin väg till den sida du vill att de ska komma till. Men en ny studie visade att denna bekvämlighet kan komma med en betydande kostnad för din säkerhet.

Studien

Under 18 månader tittade två forskare vid Cornell Tech på de förkortade webbadresserna som skapades av två olika tjänster: Microsoft OneDrive och Google Maps. Båda tjänsterna skapar förkortade länkar för att dela webbsidor (OneDrive använder dem för att dela åtkomst till dokument och Google Maps använder dem för att dela riktningar eller platser).

På grund av det lilla antalet tecken som användes i dessa förkortade länkar kunde forskarna använda en brute force attack för att hitta förkortade webbadresser som kopplade till faktiska dokument. Forskarna analyserade 100.000.000 bit.ly URLs med slumpmässigt valda sex tecken tokens (som “1maQ2JZ”). 42% av alla tokener löstes till faktiska hela webbadresser, och nästan 19 500 av dessa ledde till OneDrive-dokument.

Forskarna hittade också nästan 24 000 000 levande länkar när man skannade de fem tecken-tokens som tidigare användes av goo.gl/kartor, varav ca 10% var för körriktningar.

Att få tillgång till OneDrive-dokument och riktlinjer för Google Maps är dåligt nog, men forskarna upptäckte att de kunde göra ännu mer med den information de återhämtade sig från de här länkarna. Genom att analysera standardstrukturen för OneDrive-URL-adresser kunde de navigera och få tillgång till ett antal OneDrive-konton, varav många fann sig faktiskt skrivbara, vilket innebär att de kunde ändra filer eller ladda upp skadlig kod som automatiskt skulle hämtas till ägarens dator.

Och med Google Maps upptäckte forskarna mycket information som folk skulle troligen vilja behålla privata. Genom att titta på bostadsadresser kunde de göra utbildade gissningar om vilka hushåll som inkluderade en person som gick till specialistkliniker för medicinsk behandling, missionshanteringscenter, stripklubbar och abortleverantörer. Det har visats att platsinformation är väldigt värdefull Vad kan regeringens säkerhetsbyråer berätta från din telefons metadata? Vad kan regeringens säkerhetsbyråer berätta från din telefons metadata? Läs mer om att få identifierande information för individer, och att information kombinerad med en slags förkortad resehistorik kan vara mycket användbar för att identifiera tjuvar.

Om du vill se den fullständiga artikeln kan du kolla in det på arXiv, och en av forskarna publicerade också ett blogginlägg med en användbar sammanfattning.

Förändringar gjorda

Cornell Techs forskare delade sina resultat med Microsoft och Google, och båda företagen har vidtagit åtgärder för att minska sannolikheten för att deras användare skulle kunna äventyras av förkortade webbadresser.

URL-kortslutning har tagits bort från OneDrive-gränssnittet och metoden som används för att få mer information om användarens konto fungerar inte längre (trots Microsofts nekande att deras ändringar hade något att göra med denna rapport eller att studien även visade en säkerhetsproblem). Gamla förkortade länkar förbli dock sårbara.

Google Maps använder nu 11- och 12 tecken-token istället för de fem tecken som erbjuds tidigare, vilket gör det betydligt svårare att avslöja dem med en brutal kraftattack. Google gjorde det också svårare för ett stort antal webbadresser att skannas samtidigt.

Var försiktig

Trots att dessa två tjänster har vidtagit åtgärder för att mildra hotet kommer sannolikheten för mer sårbarheter i länkförkortningsprocessen sannolikt att finnas någon gång i framtiden (allt mer kraftfulla datorer Quantum Computers: The End of Cryptography Quantum Computers: The Krypteringens slut? Kvantumberäkning som en idé har funnits på ett tag - den teoretiska möjligheten introducerades ursprungligen 1982. Under de senaste åren har fältet gått närmare praktiken. Läs mer kommer säkert att hjälpa till). När jag nyligen kontrollerat för att se om populära förkortningstjänster använde ett litet antal tecken i sina tokens, hade både ow.ly och tinyurl sex tecken tokens och bit.ly använde sju.

Medan båda är bättre än Googles tidigare fem, är det fortfarande oroande att folk kan skicka åtkomst till viktiga filer eller personuppgifter på så sätt. Cornell Tech-forskarna visade att en enkel brute-force-skanning av dessa webbadresser kan avslöja en överraskande mängd information om specifika användare, inklusive några av de viktigaste bitarna av information för identitetsstöld. 10 stycken information som används för att stjäla din identitet 10 bitar av information som används för att stjäla din identitet Enligt USA: s justitiedepartement, kostar identitetsstöld offer över 24 miljarder dollar 2012, mer än hushållsinbrott, motor och stöldskydd kombinerat. Dessa 10 bitar av information är vilka tjuvar ser ... Läs mer .

Så vad ska du göra? För att vara helt säker, använd inte URL-kortare för allt som kan vara värdefullt för en hackare, identitetstyv eller annan misshandel. Förkortningar är verkligen användbara, men för det mesta kommer en lång URL att fungera bra. Det är stort, fult och tar upp mycket utrymme i ett e-post- eller chattfönster, men det är också mycket säkrare.

Också vara medveten om att många andra tjänster erbjuder URL-kortslutning, och du kanske vill vara försiktig med dem också. Hur var och en av dessa tjänster hanterar behörigheter med förkortade webbadresser kommer sannolikt att skilja sig, men om du av misstag gav bort åtkomst till en Flickr, Google Foto, Google Drive, Twitter, Facebook eller annat inlägg, är det svårt att veta vad som händer.

Om du får valet att förkorta en URL med en token som är längre än sex eller sju tecken ska du ta det. Forskarna sa i sitt papper att de 11- och 12 tecken-tokens som används av Google Maps inte är brutna kraftiga (åtminstone med nuvarande teknik och en rimlig mängd ansträngningar), så att sikta på minst 10 är förmodligen en bra ide.

Eller bara skapa din egen URL-kortare Fördelarna med att ställa in din egen URL-kortare och hur man gör det Fördelarna med att ställa in din egen URL-kortare och hur man gör det I en värld med 140 tecken och korta uppmärksamhetstider måste du Få så mycket text som möjligt i din Twitter-status, om du kommer att effektivt få ditt meddelande över. Läs mer och se till att det använder tillräckligt många tecken i dess URL-tokens!

Använder du URL-kort?

Förkortningstjänster verkar vara på stigande popularitet, med nya tjänster som dyker upp regelbundet. Twitter: s 140 teckengräns och svårigheten att arbeta med långa strängar av text på mobila enheter URL Shortener är den schweiziska kniven för länkdelning och spara på Android URL Shortener är den schweiziska kniven för länkdelning och sparning på Android Vad sätter URL Shortener är isär hur lätt det gör det för dig att spara länkar, kopiera dem till ett urklipp eller dela dem direkt från en meny. Läs mer har sannolikt bidragit till deras användbarhet, och förmågan att skicka en länk i ett mycket mer tittarvänligt format är verkligen tilltalande. Det finns inget som hävdar att de är väldigt bekväma, men bekvämligheten kanske inte är värt risken.

Använder du en URL-förkortningstjänst? Vilken använder du? Använder du det för känsliga dokument, eller bara för offentligt tillgängliga länkar? Är du nu oroad över säkerheten för dina länkar? Dela dina tankar nedan!

Bildkrediter: Georgiev och Shmatikov via arXiv.

Utforska mer om: Online-säkerhet, URL-kortare.