Son enlaces poner en peligro su seguridad acortada?
acortadores de URL como bit.ly, goo.gl, TinyURL y ow.ly son grandes para hacer que sea más fácil compartir Links- usted no tiene que pegar un tiempo muy largo, feo URL en una ventana de chat o un correo electrónico para ayudar a alguien a encontrar su camino a la página que quiere que lleguen a. Sin embargo, un estudio reciente mostró que esta conveniencia podría venir con un costo significativo para su seguridad.A probar 10 diferentes acortadores de URL que le dan un Agregado BeneficiosA probar 10 diferentes acortadores de URL que le dan un Agregado BeneficiosCuán diferente puede acortar un localizador uniforme de recursos? Pues bien, el sistema de acortamiento es más o menos un trabajo run-of-the-mill, pero el truco parece estar en los extras que vienen con el servicio de acortamiento ....Lee mas
El estudio
En el transcurso de 18 meses, dos investigadores de Cornell Tech observaron las direcciones URL acortadas creadas por dos servicios diferentes: Microsoft onedrive y Google Maps. Ambos servicios crear enlaces para compartir páginas web acortados (onedrive los utiliza para compartir el acceso a los documentos, y Google Maps los usa para compartir direcciones o ubicaciones).
Debido al pequeño número de caracteres utilizados en estos enlaces acortados, los investigadores fueron capaces de usar un ataque de fuerza bruta para encontrar las direcciones URL acortadas que unían a los documentos reales. Los investigadores analizaron 100.000.000 URL bit.ly con fichas elegidas al azar de seis caracteres (como “1maQ2JZ”). 42% de todas las fichas resolvieron URL completas reales, y casi 19.500 de los dirigidos a los documentos onedrive.
Los investigadores también encontraron casi 24 millones enlaces en vivo durante el análisis del carácter de cinco tokens previamente utilizado por goo.gl/maps, alrededor del 10% de los cuales eran para direcciones de manejo.
Obtener acceso a los documentos onedrive y direcciones de Google Maps es bastante malo, pero los investigadores descubrieron que podían hacer aún más con la información que se recuperaron de esos enlaces. Por ejemplo, mediante el análisis de la estructura estándar de direcciones URL onedrive, fueron capaces de navegar y acceder a un número de cuentas onedrive, muchos de los que se encontraban eran en realidad de escritura, lo que significa que podrían cambiar los archivos o cargar software malicioso que se descarga automáticamente en el ordenador del propietario.
Y con Google Maps, los investigadores descubrieron una gran cantidad de información que la gente probablemente desee mantener en privado. Al observar las direcciones residenciales, podrían hacer conjeturas en cuanto a que los hogares incluyen a una persona que fue a clínicas especializadas para el tratamiento médico, centros de tratamiento de la adicción, los clubes de striptease, y los proveedores de aborto. Se ha demostrado que información de ubicación es muy valiosa en la obtención de información de identificación para las personas, y que la información se combina con una especie de historial de viajes abreviada podría ser muy útil para los ladrones de identidad.¿Qué pueden hacer las agencias de seguridad del gobierno decir de metadatos del teléfono?¿Qué pueden hacer las agencias de seguridad del gobierno decir de metadatos del teléfono?Lee mas
Si desea ver el artículo completo publicado, puede echarle un vistazo en arXiv, y uno de los investigadores también publica un blog con un resumen útil.
Cambios realizados
Los investigadores de Cornell Tech compartieron sus resultados con Microsoft y Google, y ambas compañías han tomado medidas para reducir la probabilidad de que sus usuarios podrían verse comprometidas por las URL acortadas.
Vídeo: Cómo hacer una matriz de peligros!
el acortamiento de URL fue retirado de la interfaz onedrive, y el método utilizado para obtener más información sobre la cuenta del usuario ya no funciona (a pesar de la negativa de Microsoft que sus cambios no tuvieron nada que ver con este informe o que el estudio incluso reveló una vulnerabilidad de seguridad). enlaces acortados de edad, sin embargo, siguen siendo vulnerables.
Google Maps utiliza ahora de 11 y 12 caracteres tokens en lugar de los cinco caracteres que se ofrecen antes, por lo que es mucho más difícil para revelar con un ataque de fuerza bruta. Google también hace que sea más difícil para un gran número de direcciones URL que va a escanear a la vez.
Manténgase cuidadosa
A pesar de que estos dos servicios se han tomado medidas para mitigar la amenaza, la posibilidad de más vulnerabilidades en el proceso de enlace de acortamiento es probable que se encuentran en algún momento en el futuro (ordenadores cada vez más potentes sin duda ayudará). Cuando recientemente revisado para ver si los servicios de acortamiento populares estaban usando un pequeño número de caracteres en sus fichas, tanto ow.ly y tinyurl tenía fichas de seis caracteres, y bit.ly utilizado siete.Las computadoras cuánticas: El fin de la criptografía?Las computadoras cuánticas: El fin de la criptografía?La computación cuántica como una idea ha estado alrededor por un tiempo - la posibilidad teórica fue introducido originalmente en 1982. En los últimos años, el campo se ha acercándose a la practicidad.Lee mas
Si bien ambos son mejores que Google de cinco anteriores, sigue siendo preocupante que la gente podría estar enviando el acceso a los archivos importantes o información personal de esta manera. Los investigadores de Cornell Tech demostraron que un simple escaneo de fuerza bruta de estas URL puede revelar una sorprendente cantidad de información sobre usuarios específicos, incluyendo algunas de las la mayoría de las partes importantes de información para el robo de identidad.
Entonces, ¿qué debería hacer? Para ser totalmente seguro, simplemente no usar acortadores de URL para cualquier cosa que podría ser valiosa para un hacker, robo de identidad, u otro malhechor. Acortadores son realmente útiles, pero la mayoría de las veces, una URL larga funcionará bien. Es grande, fea, y ocupa mucho espacio en un correo electrónico o una ventana de chat, pero también es mucho más seguro.
Vídeo: Norma NFPA 704
Además, tenga en cuenta que muchos otros servicios ofrecen el acortamiento de URL, y es posible que desee tener cuidado con esos también. Cómo cada uno de esos servicios de manejar los permisos con las URL acortadas es probable que difieren, pero si accidentalmente dio lejos el acceso a un Flickr, Google Fotos, Google Drive, Twitter, Facebook, u otro mensaje, es difícil saber qué va a pasar.
Si se te da la opción de acortar una URL con una ficha que es más de seis o siete caracteres, usted debe tomarlo. dijeron los investigadores en su artículo que los de 11 y 12 caracteres fichas utilizadas por Google Maps no son bruta forzosa (por lo menos con la tecnología actual y una cantidad razonable de esfuerzo), por lo que el objetivo de al menos 10 es probablemente una buena idea.
O solo hacer su propio acortador de URLs y asegúrese de que utiliza caracteres suficientes en sus fichas de URL!Las ventajas de la creación de su propio acortador de URL & Cómo hacerloLas ventajas de la creación de su propio acortador de URL & Cómo hacerloEn un mundo de 140 caracteres, y poca capacidad de atención, que necesita para obtener el texto que sea posible en su estado de Twitter, si se va a conseguir con eficacia su mensaje.Lee mas
Cómo se utiliza el URL acortadores?
servicios de acortamiento parecen estar aumentando en popularidad, con nuevos servicios apareciendo con regularidad. límite de 140 caracteres de Twitter y la dificultad de trabajar con largas cadenas de texto en dispositivos móviles probablemente han contribuido a su utilidad, y la capacidad de enviar un enlace en un formato mucho más atractivos para los usuarios es, sin duda atractivo. No hay discusión de que son muy convenientes, pero la comodidad no puede ser vale la pena el riesgo.
Cómo se utiliza un servicio de acortamiento de URL? ¿Con cuál se utiliza? Cómo se utiliza para los documentos sensibles, o simplemente para los enlaces de acceso público? ¿Está ahora preocupado por la seguridad de sus enlaces? Compartir sus pensamientos abajo!