Beeinträchtigen gekürzte Links Ihre Sicherheit?
Testen Sie 10 verschiedene URL-Verkürzungen, die Ihnen Addon-Vorteile bieten. Testen Sie 10 verschiedene URL-Verkürzungen, die Ihnen Addon-Vorteile bieten. Wie unterschiedlich können Sie einen einheitlichen Ressourcen-Locator verkürzen? Nun, das Verkürzungssystem ist ziemlich normal, aber der Trick scheint in den Extras zu liegen, die der Verkürzungsservice mit sich bringt… Lesen Sie mehr wie bit.ly, goo.gl, tinyurl und ow. sind ideal, um das Teilen von Links zu erleichtern. Sie müssen keine wirklich langen, hässlichen URLs in ein Chat-Fenster oder eine E-Mail-Adresse einfügen, damit jemand auf die Seite gelangt, auf die er gelangen soll. Eine kürzlich durchgeführte Studie hat jedoch gezeigt, dass diese Beeinträchtigung Ihre Sicherheit erheblich beeinträchtigen kann.
Die Studium
Im Laufe von 18 Monaten untersuchten zwei Forscher von Cornell Tech die verkürzten URLs, die von zwei verschiedenen Diensten erstellt wurden: Microsoft OneDrive und Google Maps. Beide Dienste erstellen verkürzte Links für die Freigabe von Webseiten (OneDrive verwendet sie, um den Zugriff auf Dokumente freizugeben, und Google Maps verwendet sie, um Wegbeschreibungen oder Standorte zu teilen.).
Aufgrund der geringen Anzahl von Zeichen, die in diesen gekürzten Links verwendet wurden, konnten die Forscher mithilfe eines Brute-Force-Angriffs gekürzte URLs finden, die mit tatsächlichen Dokumenten verknüpft sind. Die Forscher analysierten 100.000.000 bit.ly URLs mit zufällig ausgewählten sechsstelligen Token (wie “1maQ2JZ”). 42% aller Token wurden zu vollständigen URLs aufgelöst, und fast 19.500 davon führten zu OneDrive-Dokumenten.
Die Forscher fanden auch fast 24.000.000 Live-Links beim Scannen der fünfstelligen Token, die zuvor von goo.gl/maps verwendet wurden, etwa 10% davon für Wegbeschreibungen.
Der Zugriff auf OneDrive-Dokumente und Google Maps-Anweisungen ist schlecht genug, aber die Forscher stellten fest, dass sie mit den Informationen, die sie über diese Links wiederhergestellt haben, noch mehr tun könnten. Durch die Analyse der Standardstruktur von OneDrive-URLs konnten sie beispielsweise navigieren und Zugriff auf eine Reihe von OneDrive-Konten erhalten, von denen viele für sie tatsächlich beschreibbar waren. Dies bedeutet, dass sie Dateien ändern oder Malware hochladen können, zu der automatisch heruntergeladen wird der Computer des Besitzers.
Und mit Google Maps entdeckten die Forscher viele Informationen, die die Leute wahrscheinlich geheim halten möchten. Anhand von Wohnadressen konnten sie fundierte Einschätzungen darüber anstellen, zu welchen Haushalten eine Person gehörte, die sich in Spezialkliniken befand, um medizinische Behandlung, Suchtbehandlungszentren, Strip-Clubs und Abtreibungsunternehmen durchzuführen. Es hat sich gezeigt, dass Standortinformationen sehr wertvoll sind. Was können staatliche Sicherheitsagenturen aus den Metadaten Ihres Telefons entnehmen? Was können staatliche Sicherheitsagenturen aus den Metadaten Ihres Telefons entnehmen? Lesen Sie mehr, um Identifizierungsinformationen für Einzelpersonen zu erhalten, und diese Informationen, kombiniert mit einer Art abgekürztem Reiseverlauf, könnten Identitätsdieben sehr nützlich sein.
Wenn Sie den gesamten veröffentlichten Artikel sehen möchten, können Sie ihn bei arXiv nachlesen. Einer der Forscher hat auch einen Blogbeitrag mit einer nützlichen Zusammenfassung veröffentlicht.
Änderungen vorgenommen
Die Forscher von Cornell Tech teilten ihre Ergebnisse mit Microsoft und Google. Beide Unternehmen haben Schritte unternommen, um die Wahrscheinlichkeit zu verringern, dass ihre Benutzer durch verkürzte URLs beeinträchtigt werden.
Die URL-Verkürzung wurde aus der OneDrive-Benutzeroberfläche entfernt. Die Methode, mit der weitere Informationen über das Benutzerkonto abgerufen werden, funktioniert nicht mehr (trotz der Ablehnung von Microsoft, dass die Änderungen mit diesem Bericht zu tun hatten oder dass die Studie sogar eine Sicherheitsanfälligkeit aufzeigte). Alte verkürzte Links bleiben jedoch anfällig.
Google Maps verwendet jetzt 11- und 12-Zeichen-Token anstelle der zuvor angebotenen fünf-Zeichen-Token. Dies erschwert das Aufdecken mit einem Brute-Force-Angriff erheblich. Google hat es außerdem schwieriger gemacht, eine große Anzahl von URLs gleichzeitig zu scannen.
Bleib vorsichtig
Obwohl diese beiden Dienste Schritte unternommen haben, um die Bedrohung zu mindern, wird die Gefahr größerer Schwachstellen im Prozess der Link-Verkürzung wahrscheinlich in Zukunft gefunden werden (immer leistungsfähigere Computer Quantum Computers: Das Ende der Kryptographie? Quantum Computers: The Ende der Kryptographie - Quantencomputer als Idee gibt es schon seit geraumer Zeit - die theoretische Möglichkeit wurde ursprünglich 1982 eingeführt. In den letzten Jahren hat sich das Feld der praktischen Anwendbarkeit angenähert. Lesen Sie mehr. Als ich vor kurzem nachgefragt habe, ob beliebte Verkürzungsdienste eine kleine Anzahl von Zeichen in ihren Token verwendeten, hatten ow.ly und tinyurl sechs-Zeichen-Token und bit.ly sieben.
Beide sind zwar besser als die vorherigen fünf von Google, es ist jedoch immer noch besorgniserregend, dass Benutzer auf diese Weise Zugriff auf wichtige Dateien oder persönliche Informationen senden. Die Forscher von Cornell Tech haben gezeigt, dass ein einfacher Brute-Force-Scan dieser URLs eine überraschende Menge an Informationen über bestimmte Benutzer aufdecken kann, einschließlich einiger der wichtigsten Informationen zum Identitätsdiebstahl. 10 Informationen, die dazu dienen, Ihre Identität zu stehlen 10 Informationen, die verwendet werden, um Ihre Identität zu stehlen Laut US-Justizministerium kostete Identitätsdiebstahl Opfer im Jahr 2012 über 24 Milliarden US-Dollar. Diese 10 Informationen suchen die Diebe… Lesen Sie mehr .
Was solltest du tun? Um absolut sicher zu sein, verwenden Sie einfach keine URL-Verkürzungen für alles, was für einen Hacker, Identitätsdieb oder einen anderen Betrüger wertvoll sein könnte. Shorteners sind sehr nützlich, aber meistens funktioniert eine lange URL gut. Es ist groß, hässlich und nimmt in einem E-Mail- oder Chat-Fenster viel Platz in Anspruch, ist aber auch viel sicherer.
Beachten Sie auch, dass viele andere Dienste eine URL-Verkürzung bieten, und Sie sollten auch vorsichtig sein. Wie jeder dieser Dienste mit Berechtigungen mit verkürzten URLs umgeht, unterscheidet sich wahrscheinlich. Wenn Sie jedoch versehentlich Zugriff auf Flickr, Google Fotos, Google Drive, Twitter, Facebook oder einen anderen Beitrag gegeben haben, ist es schwierig zu wissen, was passieren wird.
Wenn Sie die Möglichkeit haben, eine URL mit einem Token zu verkürzen, das länger als sechs oder sieben Zeichen ist, sollten Sie es verwenden. Die Forscher sagten in ihrem Artikel, dass die von Google Maps verwendeten 11- und 12-Zeichen-Token nicht (zumindest mit der derzeitigen Technologie und einem angemessenen Aufwand) mit Gewalt belegt werden können. Daher ist es wahrscheinlich eine gute Idee, mindestens 10 Zeichen zu verwenden.
Oder erstellen Sie einfach Ihren eigenen URL-Shortener Die Vorteile der Einrichtung Ihrer eigenen URL-Verkürzung und die Vorgehensweise Die Einrichtung der eigenen URL-Verkürzung und die Vorgehensweise In einer Welt von 140 Zeichen und kurzen Aufmerksamkeitsspannen müssen Sie dies tun Holen Sie sich so viel Text wie möglich in Ihren Twitter-Status, wenn Sie Ihre Nachricht effektiv vermitteln möchten. Lesen Sie mehr und stellen Sie sicher, dass in den URL-Token genügend Zeichen verwendet werden!
Verwenden Sie URL-Verkürzungen?
Verkürzungsdienste scheinen an Beliebtheit zu gewinnen, wobei regelmäßig neue Dienste auftauchen. Twitter hat ein Limit von 140 Zeichen und die Schwierigkeit, mit langen Textfolgen auf mobilen Geräten zu arbeiten. URL Shortener ist das Schweizer Messer für das Link-Sharing und das Speichern auf Android-URL Shortener ist das Schweizer Messer für das Link-Sharing und das Speichern auf Android Was URL Shortener auszeichnet wie einfach es ist, Links zu speichern, in eine Zwischenablage zu kopieren oder direkt aus einem Menü zu teilen. Lesen Sie mehr haben wahrscheinlich zu ihrer Nützlichkeit beigetragen, und die Möglichkeit, einen Link in einem viel benutzerfreundlicheren Format zu senden, ist sicherlich ansprechend. Es gibt keine Argumente, dass sie sehr bequem sind, aber die Bequemlichkeit ist das Risiko möglicherweise nicht wert.
Verwenden Sie einen URL-Verkürzungsservice? Welches verwendest du? Verwenden Sie es für sensible Dokumente oder nur für öffentlich zugängliche Links? Sorgen Sie sich jetzt um die Sicherheit Ihrer Links? Teilen Sie unten Ihre Gedanken mit!
Bildnachweis: Georgiev und Shmatikov über arXiv.
Erfahren Sie mehr über: Online-Sicherheit, URL-Shortener.