¿Los enlaces acortados comprometen su seguridad?

Anuncio

Acortadores de URL Pruebe 10 diferentes acortadores de URL que le brindan beneficios adicionales¿Cuán diferente puede acortar un localizador de recursos uniforme? Bueno, el sistema de acortamiento es prácticamente un trabajo común, pero el truco parece estar en los extras que vienen con el servicio de acortamiento ... Lee mas como bit.ly, goo.gl, tinyurl y ow.ly son excelentes para facilitar el intercambio de enlaces; no tiene que pegar una URL muy larga y fea en una ventana de chat o un correo electrónico para ayudar a alguien a encontrar el camino a la página que desea que acceda. Pero un estudio reciente mostró que esta conveniencia podría tener un costo significativo para su seguridad.

El estudio

En el transcurso de 18 meses, dos investigadores de Cornell Tech analizaron las URL acortadas creadas por dos servicios diferentes: Microsoft OneDrive y Google Maps. Ambos servicios crean enlaces abreviados para compartir páginas web (OneDrive los usa para compartir el acceso a los documentos, y Google Maps los usa para compartir direcciones o ubicaciones).

Debido a la pequeña cantidad de caracteres utilizados en estos enlaces acortados, los investigadores pudieron utilizar un ataque de fuerza bruta para encontrar URL acortadas que se vincularan a documentos reales. Los investigadores analizaron 100,000,000 URL de bit.ly con tokens de seis caracteres elegidos al azar (como "1maQ2JZ"). El 42% de todos los tokens se resolvieron en URL completas reales, y casi 19,500 de ellos condujeron a documentos de OneDrive.

Los investigadores también encontraron casi 24,000,000 enlaces en vivo al escanear los tokens de cinco caracteres utilizados anteriormente por goo.gl/maps, de los cuales alrededor del 10% eran para direcciones de manejo.

Tener acceso a los documentos de OneDrive y a las instrucciones de Google Maps es bastante malo, pero los investigadores descubrieron que podrían hacer aún más con la información que recuperaron de esos enlaces. Por ejemplo, al analizar la estructura estándar de las URL de OneDrive, pudieron navegar y obtener acceso a varias cuentas de OneDrive, muchas de que encontraron que en realidad se podían escribir, lo que significa que podían cambiar archivos o cargar malware que se descargaría automáticamente al propietario computadora.

Y con Google Maps, los investigadores descubrieron mucha información que las personas probablemente querrían mantener en privado. Al observar las direcciones residenciales, podrían hacer conjeturas educadas sobre qué hogares incluían a una persona que fue a clínicas especializadas para recibir tratamiento médico, centros de tratamiento de adicciones, clubes de striptease y proveedores de abortos. Se ha demostrado que la información de ubicación es muy valiosa ¿Qué pueden decir las agencias de seguridad del gobierno de los metadatos de su teléfono? Lee mas para obtener información de identificación para individuos, y esa información combinada con una especie de historial abreviado de viaje podría ser muy útil para los ladrones de identidad.

Si desea ver el artículo completo publicado, puede échale un vistazo en arXiv, y uno de los investigadores también publicó un publicación de blog con un resumen útil.

Cambios realizados

Los investigadores de Cornell Tech compartieron sus resultados con Microsoft y Google, y ambas compañías han tomado medidas para disminuir la probabilidad de que sus usuarios puedan verse comprometidos por URLs acortadas.

El acortamiento de URL se eliminó de la interfaz de OneDrive, y el método utilizado para obtener más información sobre la cuenta del usuario ya no funciona (a pesar de la negativa de Microsoft de que sus cambios tuvieron algo que ver con este informe o que el estudio incluso reveló una seguridad vulnerabilidad). Sin embargo, los enlaces acortados antiguos siguen siendo vulnerables.

Google Maps ahora usa tokens de 11 y 12 caracteres en lugar de los de cinco caracteres ofrecidos anteriormente, lo que hace que sea mucho más difícil revelarlos con un ataque de fuerza bruta. Google también dificultó el escaneo de una gran cantidad de URL a la vez.

Cuidado

A pesar de que estos dos servicios han tomado medidas para mitigar la amenaza, la posibilidad de más vulnerabilidades en el proceso de acortamiento de enlaces probablemente se encuentre en algún momento en el futuro (computadoras cada vez más potentes Computadoras cuánticas: ¿El fin de la criptografía?La computación cuántica como idea ha existido por un tiempo: la posibilidad teórica se introdujo originalmente en 1982. En los últimos años, el campo se ha ido acercando a la practicidad. Lee mas sin duda ayudará). Cuando recientemente verifiqué si los servicios de acortamiento populares usaban un pequeño número de caracteres en sus tokens, tanto ow.ly como tinyurl tenían tokens de seis caracteres, y bit.ly usaba siete.

Si bien ambos son mejores que los cinco anteriores de Google, todavía le preocupa que las personas puedan enviar acceso a archivos importantes o información personal de esta manera. Los investigadores de Cornell Tech demostraron que un simple escaneo de fuerza bruta de estas URL puede revelar una cantidad sorprendente de información sobre usuarios específicos, incluidas algunas de las La información más importante para el robo de identidad 10 piezas de información que se utilizan para robar su identidadEl robo de identidad puede ser costoso. Aquí están las 10 piezas de información que necesita proteger para que su identidad no sea robada. Lee mas .

Entonces, ¿qué debería hacer? Para estar totalmente seguro, simplemente no use acortadores de URL para nada que pueda ser valioso para un pirata informático, un ladrón de identidad u otro delincuente. Los acortadores son realmente útiles, pero la mayoría de las veces, una URL larga funcionará bien. Es grande, feo y ocupa mucho espacio en una ventana de correo electrónico o chat, pero también es mucho más seguro.

Además, tenga en cuenta que muchos otros servicios ofrecen acortamiento de URL, y es posible que también tenga cuidado con ellos. Es probable que la forma en que cada uno de esos servicios maneje los permisos con URL acortadas sea diferente, pero si accidentalmente dio fuera del acceso a Flickr, Google Photos, Google Drive, Twitter, Facebook u otra publicación, es difícil saber qué suceder.

Si tiene la opción de acortar una URL con un token de más de seis o siete caracteres, debe tomarla. Los investigadores dijeron en su artículo que los tokens de 11 y 12 caracteres utilizados por Google Maps no son brutales (al menos con la tecnología actual y una cantidad razonable de esfuerzo), por lo que apuntar a al menos 10 es probablemente un buen idea.

O solo haz tu propio acortador de URL Las ventajas de configurar su propio acortador de URL y cómo hacerloEn un mundo de 140 caracteres y períodos de atención cortos, debe obtener la mayor cantidad de texto posible en su estado de Twitter, si va a transmitir su mensaje de manera efectiva. Lee mas ¡y asegúrese de que use suficientes caracteres en sus tokens de URL!

¿Utiliza acortadores de URL?

Los servicios de acortamiento parecen estar en aumento en popularidad, con nuevos servicios apareciendo regularmente. El límite de 140 caracteres de Twitter y la dificultad de trabajar con largas cadenas de texto en dispositivos móviles URL Shortener es el cuchillo suizo para compartir y guardar enlaces en AndroidLo que diferencia a URL Shortener es lo fácil que le resulta guardar enlaces, copiarlos en un portapapeles o compartirlos directamente desde un menú. Lee mas probablemente han contribuido a su utilidad, y la capacidad de enviar un enlace en un formato mucho más amigable para los espectadores es ciertamente atractiva. No se discute que son muy convenientes, pero la conveniencia puede no valer el riesgo.

¿Utiliza un servicio de acortamiento de URL? ¿Cuál usas? ¿Lo usa para documentos confidenciales o solo para enlaces de acceso público? ¿Ahora te preocupa la seguridad de tus enlaces? ¡Comparte tus pensamientos a continuación!

Créditos de imagen: Georgiev y Shmatikov a través de arXiv.