Forkortede links er sårbare

Artiklen blev oprindeligt publiceret den 21/4/2016

Sikkerhedsforskere har opdaget en metode til at få adgang til data bag forkortede links, selvom de ikke er offentliggjort.

Forskerne har set på cloud-lagringstjenester som OneDrive og Google Drive. Brugerne kan automatisk generere korte links til data. De forkortede links er egnede til deling på Twitter eller andre steder, hvor man ikke ønsker at bruge for meget plads på et link.

Flere cloud-tjenester bruger tjenesten Bit.ly til at forkorte links. Google Maps bruger firmaets egen tjeneste, Goo.gl.

Sikkerhedsforskerne Martin Georgiev og Vitaly Shmatikov har fundet ud af, at der er et begrænset antal mulige URL'er, fordi tjenesterne typisk laver links med fem eller seks unikke tegn. Derfor er det muligt at udføre et brute force-angreb, hvor man via tjenestens API (Application Programming Interface) afprøver en lang række URL'er.

De afprøvede 100 millioner tilfældige genererede URL'er med seks tegn på Bit.ly. Her fandt de over 42 millioner URL'er, der var i brug.

På den måde kan uvedkommende få adgang til filer, som brugeren kun har tænkt sig at dele i en snæver kreds. I nogle tilfælde kan uvedkommende også ændre på indholdet.

Det er i nogle tilfælde også muligt at lægge nye filer ind på cloud-tjenesten. De vil derefter blive synkroniseret ned på brugerens pc. Hvis der er tale om et skadeligt program med et spændende filnavn, kan brugeren blive narret til at åbne det.

Microsoft og Google har ændret på deres systemer, efter at forskerne orienterede dem om problemerne. Således består nye forkortede links fra Google nu af 11 eller 12 tegn, hvilket gør det praktisk uigennemførligt at lave brute force-angreb. Men eksisterende forkortede links kan fortsat misbruges.

Foruden fildeling bruges forkortede links også til landkort og GPS-tjenester. Ved at udnytte svaghederne kan uvedkommende finde frem til andres adresser og hvor de har været henne.

Anbefaling
Brug andre beskyttelsesmekanismer end hemmeligholdelse, hvis I deler data via forkortede links.

Links

• Gone in Six Characters: Short URLs Considered Harmful for Cloud Services (PDF-format)
• URL shorteners reveal your trip to strip club, dash to disease clinic – research, artikel fra The Register