¿Los enlaces acortados comprometen su seguridad?

  • William Charles
  • 0
  • 4282
  • 581
Anuncio

Acortadores de URL Pruebe 10 diferentes acortadores de URL que le brindan beneficios adicionales Pruebe 10 diferentes acortadores de URL que le brindan beneficios adicionales ¿Qué tan diferente puede acortar un localizador uniforme de recursos? Bueno, el sistema de acortamiento es prácticamente un trabajo común, pero el truco parece estar en los extras que vienen con el servicio de acortamiento ... como bit.ly, goo.gl, tinyurl y ow.ly son ideal para facilitar el intercambio de enlaces; no tiene que pegar una URL muy larga y fea en una ventana de chat o un correo electrónico para ayudar a alguien a encontrar el camino a la página que desea que acceda. Pero un estudio reciente mostró que esta conveniencia podría tener un costo significativo para su seguridad..

El estudio

En el transcurso de 18 meses, dos investigadores de Cornell Tech analizaron las URL acortadas creadas por dos servicios diferentes: Microsoft OneDrive y Google Maps. Ambos servicios crean enlaces abreviados para compartir páginas web (OneDrive los usa para compartir el acceso a los documentos, y Google Maps los usa para compartir direcciones o ubicaciones).

Debido a la pequeña cantidad de caracteres utilizados en estos enlaces acortados, los investigadores pudieron utilizar un ataque de fuerza bruta para encontrar URL acortadas que se vincularan a documentos reales. Los investigadores analizaron 100,000,000 bit.ly URL con tokens de seis caracteres elegidos al azar (como “1maQ2JZ”) El 42% de todos los tokens se resolvió a URL completas reales, y casi 19,500 de ellos llevaron a documentos de OneDrive.

Los investigadores también encontraron casi 24,000,000 enlaces en vivo al escanear los tokens de cinco caracteres utilizados anteriormente por goo.gl/maps, aproximadamente el 10% de los cuales fueron para direcciones de manejo.

Tener acceso a los documentos de OneDrive y a las instrucciones de Google Maps es bastante malo, pero los investigadores descubrieron que podrían hacer aún más con la información que recuperaron de esos enlaces. Por ejemplo, al analizar la estructura estándar de las URL de OneDrive, pudieron navegar y obtener acceso a una serie de cuentas de OneDrive, muchas de las cuales encontraron que podían escribirse, lo que significa que podían cambiar archivos o cargar malware que se descargaría automáticamente a la computadora del propietario.

Y con Google Maps, los investigadores descubrieron mucha información que las personas probablemente querrían mantener en privado. Al observar las direcciones residenciales, podrían hacer conjeturas educadas sobre qué hogares incluían a una persona que acudió a clínicas especializadas para recibir tratamiento médico, centros de tratamiento de adicciones, clubes de striptease y proveedores de abortos. Se ha demostrado que la información de ubicación es muy valiosa ¿Qué pueden decir las agencias de seguridad del gobierno de los metadatos de su teléfono? ¿Qué pueden decir las agencias de seguridad del gobierno de los metadatos de su teléfono? para obtener información de identificación para individuos, y esa información combinada con una especie de historial de viaje abreviado podría ser muy útil para los ladrones de identidad.

Si desea ver el artículo completo publicado, puede consultarlo en arXiv, y uno de los investigadores también publicó una publicación de blog con un resumen útil.

Cambios realizados

Los investigadores de Cornell Tech compartieron sus resultados con Microsoft y Google, y ambas compañías han tomado medidas para disminuir la probabilidad de que sus usuarios puedan verse comprometidos por URLs acortadas.

El acortamiento de URL se eliminó de la interfaz de OneDrive, y el método utilizado para obtener más información sobre la cuenta del usuario ya no funciona (a pesar de la negativa de Microsoft de que sus cambios tuvieron algo que ver con este informe o que el estudio incluso reveló una vulnerabilidad de seguridad). Sin embargo, los enlaces acortados antiguos siguen siendo vulnerables.

Google Maps ahora usa tokens de 11 y 12 caracteres en lugar de los de cinco caracteres ofrecidos anteriormente, lo que hace que sea mucho más difícil revelarlos con un ataque de fuerza bruta. Google también dificultó el escaneo de una gran cantidad de URL a la vez.

Cuidado

A pesar de que estos dos servicios han tomado medidas para mitigar la amenaza, la posibilidad de más vulnerabilidades en el proceso de acortamiento de enlaces probablemente se encuentre en algún momento en el futuro (computadoras cada vez más potentes Computadoras cuánticas: ¿El fin de la criptografía? ¿Fin de la criptografía? La computación cuántica como idea ha existido por un tiempo: la posibilidad teórica se introdujo originalmente en 1982. En los últimos años, el campo se ha acercado más a la practicidad (sin duda ayudará). Cuando recientemente verifiqué si los servicios de acortamiento populares usaban un pequeño número de caracteres en sus tokens, tanto ow.ly como tinyurl tenían tokens de seis caracteres, y bit.ly usaba siete.

Si bien ambos son mejores que los cinco anteriores de Google, sigue siendo preocupante que las personas puedan enviar acceso a archivos importantes o información personal de esta manera. Los investigadores de Cornell Tech demostraron que un simple escaneo de fuerza bruta de estas URL puede revelar una cantidad sorprendente de información sobre usuarios específicos, incluidas algunas de las piezas de información más importantes para el robo de identidad. 10 Piezas de información que se utilizan para robar su identidad 10 datos que se utilizan para robar su identidad Según la Oficina de Justicia de los EE. UU., El robo de identidad costó a las víctimas más de $ 24 mil millones en 2012, más que el robo doméstico, el motor y el robo de propiedad combinados. Estos 10 datos son lo que buscan los ladrones ... .

Entonces, ¿qué debería hacer? Para estar totalmente seguro, simplemente no use acortadores de URL para nada que pueda ser valioso para un pirata informático, ladrón de identidad u otro delincuente. Los acortadores son realmente útiles, pero la mayoría de las veces, una URL larga funcionará bien. Es grande, feo y ocupa mucho espacio en una ventana de correo electrónico o chat, pero también es mucho más seguro.

Además, tenga en cuenta que muchos otros servicios ofrecen acortamiento de URL, y es posible que también tenga cuidado con ellos. Es probable que difiera la forma en que cada uno de esos servicios maneja los permisos con URL acortadas, pero si accidentalmente dio acceso a Flickr, Google Photos, Google Drive, Twitter, Facebook u otra publicación, es difícil saber qué sucederá.

Si tiene la opción de acortar una URL con un token de más de seis o siete caracteres, debe tomarla. Los investigadores dijeron en su artículo que los tokens de 11 y 12 caracteres utilizados por Google Maps no son brutales (al menos con la tecnología actual y un esfuerzo razonable), por lo que apuntar a al menos 10 es probablemente una buena idea.

O simplemente haga su propio acortador de URL Las ventajas de configurar su propio acortador de URL y cómo hacerlo Las ventajas de configurar su propio acortador de URL y cómo hacerlo En un mundo de 140 caracteres y breves períodos de atención, necesita obtenga la mayor cantidad de texto posible en su estado de Twitter, si va a transmitir su mensaje de manera efectiva. y asegúrese de que use suficientes caracteres en sus tokens de URL!

¿Utiliza acortadores de URL?

Los servicios de acortamiento parecen estar en aumento en popularidad, con nuevos servicios apareciendo regularmente. El límite de 140 caracteres de Twitter y la dificultad de trabajar con largas cadenas de texto en dispositivos móviles URL Shortener es el cuchillo suizo de compartir y guardar enlaces en Android URL Shortener es el cuchillo suizo de compartir y guardar enlaces en Android Lo que distingue a URL Shortener es lo fácil que le resulta guardar enlaces, copiarlos en un portapapeles o compartirlos directamente desde un menú. probablemente han contribuido a su utilidad, y la capacidad de enviar un enlace en un formato mucho más amigable para los espectadores es ciertamente atractiva. No se discute que son muy convenientes, pero la conveniencia puede no valer la pena..

¿Utiliza un servicio de acortamiento de URL? ¿Cuál usas? ¿Lo usa para documentos confidenciales o solo para enlaces de acceso público? ¿Ahora te preocupa la seguridad de tus enlaces? Comparte tus pensamientos a continuación!

Créditos de imagen: Georgiev y Shmatikov a través de arXiv.




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.