Les liens raccourcis compromettent-ils votre sécurité?

Publicité

Raccourcisseurs d'URL Essayez 10 raccourcisseurs d'URL différents qui vous offrent des avantages supplémentairesDans quelle mesure pouvez-vous raccourcir un localisateur de ressources uniforme? Eh bien, le système de raccourcissement est à peu près un travail ordinaire, mais l'astuce semble être dans les extras qui viennent avec le service de raccourcissement ... Lire la suite comme bit.ly, goo.gl, tinyurl et ow.ly sont parfaits pour faciliter le partage de liens; vous n'avez pas à coller une URL très longue et laide dans une fenêtre de discussion ou un e-mail pour aider quelqu'un à trouver son chemin vers la page vers laquelle vous souhaitez qu'il accède. Mais une étude récente a montré que cette commodité pouvait entraîner un coût important pour votre sécurité.

L'étude

Au cours de 18 mois, deux chercheurs de Cornell Tech ont examiné les URL raccourcies créées par deux services différents: Microsoft OneDrive et Google Maps. Les deux services créent des liens raccourcis pour partager des pages Web (OneDrive les utilise pour partager l'accès aux documents et Google Maps les utilise pour partager des itinéraires ou des emplacements).

En raison du petit nombre de caractères utilisés dans ces liens raccourcis, les chercheurs ont pu utiliser une attaque par force brute pour trouver des URL raccourcies liées à des documents réels. Les chercheurs ont analysé 100 000 000 URL bit.ly avec des jetons à six caractères choisis au hasard (comme «1maQ2JZ»). 42% de tous les jetons ont été convertis en URL complètes réelles, et près de 19 500 d'entre eux ont conduit à des documents OneDrive.

Les chercheurs ont également trouvé près de 24 millions de liens en direct lors de la numérisation des jetons à cinq caractères précédemment utilisés par goo.gl/maps, dont environ 10% pour les itinéraires.

L'accès aux documents OneDrive et aux itinéraires Google Maps est déjà assez mauvais, mais les chercheurs ont découvert qu'ils pourraient faire encore plus avec les informations qu'ils ont récupérées à partir de ces liens. Par exemple, en analysant la structure standard des URL OneDrive, ils ont pu naviguer et accéder à un certain nombre de comptes OneDrive, de nombreux qu'ils trouvaient réellement inscriptibles, ce qui signifie qu'ils pouvaient modifier des fichiers ou télécharger des logiciels malveillants qui seraient automatiquement téléchargés sur le site du propriétaire. ordinateur.

Et avec Google Maps, les chercheurs ont découvert de nombreuses informations que les gens voudraient probablement garder privées. En examinant les adresses résidentielles, ils pouvaient faire des suppositions éclairées quant aux ménages qui comprenaient une personne qui se sont rendus dans des cliniques spécialisées pour des traitements médicaux, des centres de traitement de la toxicomanie, des clubs de striptease et des fournisseurs d'avortement. Il a été démontré que les informations de localisation sont très précieuses Que peuvent dire les agences de sécurité gouvernementales des métadonnées de votre téléphone? Lire la suite pour obtenir des informations d'identification pour les individus, et cette information combinée à une sorte d'historique de voyage abrégé pourrait être très utile pour les voleurs d'identité.

Si vous voulez voir l'article complet publié, vous pouvez Découvrez-le sur arXiv, et l'un des chercheurs a également publié un article de blog avec un résumé utile.

Modifications effectuées

Les chercheurs de Cornell Tech ont partagé leurs résultats avec Microsoft et Google, et les deux sociétés ont pris des mesures pour réduire la probabilité que leurs utilisateurs soient compromis par des URL raccourcies.

Le raccourcissement d'URL a été supprimé de l'interface OneDrive et la méthode utilisée pour obtenir plus d'informations sur le compte de l'utilisateur n'est plus fonctionne (malgré le refus de Microsoft que leurs changements aient quelque chose à voir avec ce rapport ou que l'étude ait même révélé une sécurité vulnérabilité). Les anciens liens raccourcis restent cependant vulnérables.

Google Maps utilise désormais des jetons de 11 et 12 caractères au lieu des jetons de cinq caractères proposés auparavant, ce qui rend beaucoup plus difficile de les révéler avec une attaque par force brute. Google a également rendu plus difficile l'analyse d'un grand nombre d'URL à la fois.

Restez prudent

Même si ces deux services ont pris des mesures pour atténuer la menace, la possibilité de plus de vulnérabilités dans le processus de raccourcissement des liens se trouvera probablement dans le futur (des ordinateurs de plus en plus puissants Ordinateurs quantiques: la fin de la cryptographie?L'informatique quantique en tant qu'idée existe depuis un certain temps - la possibilité théorique a été introduite à l'origine en 1982. Au cours des dernières années, le domaine s'est rapproché de l'aspect pratique. Lire la suite sera certainement utile). Lorsque j'ai récemment vérifié si les services de raccourcissement populaires utilisaient un petit nombre de caractères dans leurs jetons, ow.ly et tinyurl avaient des jetons à six caractères et bit.ly en avait utilisé sept.

Bien que les deux soient meilleurs que les cinq précédents de Google, il est toujours inquiétant que les gens puissent envoyer l'accès à des fichiers importants ou à des informations personnelles de cette façon. Les chercheurs de Cornell Tech ont démontré qu'une simple analyse par force brute de ces URL peut révéler une quantité surprenante d'informations sur des utilisateurs spécifiques, y compris quelques-uns des informations les plus importantes pour le vol d'identité 10 éléments d'information qui sont utilisés pour voler votre identitéLe vol d'identité peut être coûteux. Voici les 10 informations que vous devez protéger afin que votre identité ne soit pas volée. Lire la suite .

Alors, que devrais-tu faire? Pour être totalement sûr, n'utilisez pas de raccourcisseurs d'URL pour tout ce qui pourrait être utile à un pirate, un voleur d'identité ou tout autre mécréant. Les raccourcisseurs sont vraiment utiles, mais la plupart du temps, une longue URL fonctionnera très bien. C'est grand, moche et prend beaucoup de place dans une fenêtre de messagerie ou de chat, mais c'est aussi beaucoup plus sûr.

Sachez également que de nombreux autres services proposent un raccourcissement d'URL, et vous pouvez également être prudent avec ceux-ci. La façon dont chacun de ces services gère les autorisations avec des URL raccourcies est susceptible de différer, mais si vous avez accidentellement donné accès à un Flickr, Google Photos, Google Drive, Twitter, Facebook ou autre message, il est difficile de savoir ce qui se produire.

Si vous avez le choix de raccourcir une URL avec un jeton de plus de six ou sept caractères, vous devriez le prendre. Les chercheurs ont déclaré dans leur article que les jetons de 11 et 12 caractères utilisés par Google Maps ne sont pas forcés par la force brute (au moins avec la technologie actuelle et un effort raisonnable), donc viser au moins 10 est probablement un bon idée.

Ou juste faites votre propre raccourcisseur d'URL Les avantages de configurer votre propre raccourcisseur d'URL et comment le faireDans un monde de 140 caractères et de courtes périodes d'attention, vous devez obtenir autant de texte que possible dans votre statut Twitter, si vous voulez faire passer votre message efficacement. Lire la suite et assurez-vous qu'il utilise suffisamment de caractères dans ses jetons URL!

Utilisez-vous des raccourcisseurs d'URL?

Le raccourcissement des services semble gagner en popularité et de nouveaux services apparaissent régulièrement. La limite de 140 caractères de Twitter et la difficulté de travailler avec de longues chaînes de texte sur des appareils mobiles Le raccourcisseur d'URL est le couteau suisse du partage et de l'enregistrement de liens sur AndroidCe qui distingue le raccourcisseur d'URL, c'est la facilité avec laquelle il vous permet d'enregistrer des liens, de les copier dans un presse-papiers ou de les partager directement à partir d'un menu. Lire la suite ont probablement contribué à leur utilité, et la possibilité d'envoyer un lien dans un format beaucoup plus convivial est certainement attrayante. Il ne fait aucun doute qu’ils sont très pratiques, mais la commodité ne vaut peut-être pas le risque.

Utilisez-vous un service de raccourcissement d'URL? Lequel utilisez-vous? L'utilisez-vous pour des documents sensibles ou simplement pour des liens accessibles au public? Êtes-vous maintenant inquiet pour la sécurité de vos liens? Partagez vos pensées ci-dessous!

Crédits image: Georgiev et Shmatikov via arXiv.