Хакеры обнаружили в коротких ссылках скрытую угрозу

[oit]

Профессор Виталий Шматиков из Корнелльского университета совместно с независимым экспертом по информационной безопасности Мартином Георгиевым обнаружил, что использование некоторых сервисов, сокращающих ссылки, может представлять определенную опасность.

 

В частности, сокращенные ссылки могут привести к утечке данных или к массовой загрузке вредоносного программного обеспечения на устройства пользователей. Кратко об уязвимости один из авторов работы рассказал в блоге Freedom to Tinker, с полным текстом исследования можно ознакомиться на arXiv.org.

Исследователи предположили, что укороченные URL-адреса обладают фундаментальным недостатком, заложенным в самой концепции такого подхода — небольшое количество символов.

Наиболее популярные сокращатели предоставляют токены длиной от 5 до 7 символов, что позволяет методом прямого перебора получить доступ ко всем ресурсам, на которые был сгенерирован короткий адрес.

Например, для получения базы всех 6-символьных токенов популярного сервиса bit.ly надо потратить около 250 тысяч клиенто-дней, что, по словам авторов, позволяет с помощью ботнета соответствующих размеров получить эти данные всего за сутки.

В своей работе исследователи обратили внимание на различные картографические сервисы и облачные хранилища данных. Например, проанализировав свыше 42 миллионов адресов bit.ly (около 0,003 процента пространства имен шестисимвольных токенов), авторы обнаружили 3003 ссылки, ведущих на облачный сервис OneDrive, при этом 2130 из этих ссылок оказались действующими. Таким образом, если укороченный URL использовался для ссылки на данные из облачного сервиса, то посторонний человек может получить доступ к информации, ссылка на которую никогда не публиковалась в открытом доступе. При этом, по словам авторов, по служебной информации из такой ссылки можно получить доступ и к другим файлам и каталогам этой учетной записи. Кроме того, по оценке исследователей, в общей сумме около семи процентов найденных аккаунтов OneDrive содержат в себе каталог, открытый для записи — это позволяет потенциальному злоумышленнику произвести массовую загрузку вредносного программного обеспечения, которое облачный сервис сам скопирует на устройства пользователей во время запланированной синхронизации.

Также исследователи проанализировали короткие URL-адреса, генерируемые картографическими сервисами. При этом, по словам авторов, с точки зрения злоумышленника наибольший интерес могут представлять не ссылки на отдельные локации, а ссылки на маршруты. Например, для Google Maps маршруты составили около 10 процентов от 24 миллионов просканированных токенов.

Авторы отмечают, что сопоставив маршруты с одинаковым адресом частного дома в начале или в конце пути злоумышленник может получить доступ к данным о передвижении людей, проживающих по указанному адресу.

 

Специалисты по информационной безопасности обратились в Microsoft в августе 2015 года, после чего компания в марте 2016 года изменила алгоритм генерирования ссылок и методика, описанная авторами, уже не работает для получения доступа ко всем файлам или записи в каталог. При этом, отмечают исследователи, старые ссылки остались работоспособными и по-прежнему не защищены, а в Microsoft отказались считать это уязвимостью и заявили, что изменения в алгоритме генерирования ссылок не связано с работой авторов. В Google ответили немедленно и перешли с коротких адресов на 11 и 12-символьные токены.

Исследователи особо отмечают, что для анализа использовали только метаданные, такие как адреса ресурсов и имена файлов и каталогов, сами файлы при этом не загружались. Авторы работы отмечают, что разработчикам облачных сервисов стоит обратить внимание на встроенные сокращатели и алгоритмы генерирования ссылок — доступ к одному файлу не должен давать доступа ко всем данным, загруженным под той же учетной записью.

 

*https://news.mail.ru/society/25479327/?frommail=10