诸如bit.ly,goo.gl,tinyurl和ow.ly之类的URL缩短器非常易于共享链接;您不必在聊天窗口或电子邮件中粘贴一个很长很丑陋的URL,即可帮助某人找到进入您想要访问的页面的方式。但是最近的一项研究表明,这种便利性可能会给您的安全性带来巨大的成本。
研究
在18个月的过程中,康奈尔理工学院的两名研究人员着眼于缩短的时间由两种不同的服务创建的URL:Microsoft OneDrive和Google Maps。两种服务都创建了用于共享网页的缩短链接(OneDrive使用它们来共享对文档的访问权限,而Google Maps使用它们来共享方向或位置)。
由于这些缩短的链接中使用的字符数很少,研究人员能够使用蛮力攻击来找到链接到实际文档的缩短的URL。研究人员使用随机选择的六个字符的令牌(例如“ 1maQ2JZ")分析了100,000,000个bit.ly URL。所有令牌中有42%解析为实际的完整URL,其中将近19,500导致了OneDrive文档。
研究人员在扫描goo以前使用的五字符令牌时还发现了将近24,000,000个实时链接。 .gl / maps,其中大约10%用于行车路线。
访问OneDrive文档和Google Maps路线已经够糟糕了,但是研究人员发现,他们可以利用所恢复的信息做更多的工作从这些链接。例如,通过分析OneDrive URL的标准结构,他们能够导航并获得对许多OneDrive帐户的访问权,他们发现其中许多实际上是可写的,这意味着他们可以更改文件或上传可自动下载到的恶意软件。所有者的计算机。
利用Google地图,研究人员发现了很多人们可能希望保密的信息。通过查看居住地址,他们可以对哪些家庭包括去专科诊所接受治疗的人,成瘾治疗中心,脱衣舞俱乐部和堕胎提供者进行有根据的猜测。已经证明,位置信息对于获取个人识别信息非常有价值,并且该信息与某种缩写的旅行历史相结合可能对身份盗窃者非常有用。
如果您想查看全部信息,发表的文章,您可以在arXiv上查看,其中一位研究人员还发表了一篇有用的摘要博客文章。
所做的更改
康奈尔大学的研究人员与Microsoft和Google,以及两家公司均已采取措施,以减少其用户被缩短的URL危害的可能性。
从OneDrive界面中删除了URL缩短,该方法用于获取有关该URL的更多信息。用户的帐户不再有效(尽管Microsoft否认他们的更改与此报告有关,或者该研究甚至揭示了一个安全漏洞)。但是,旧的缩短的链接仍然容易受到攻击。
Google Maps现在使用11和12个字符的令牌,而不是以前提供的5个字符的令牌,这使得通过蛮力攻击显露它们变得非常困难。 Google还使得一次扫描大量URL变得更加困难。
保持谨慎
即使这两项服务都已采取措施缓解威胁,但仍有可能将来可能会发现链接缩短过程中的漏洞(功能越来越强大的计算机肯定会有所帮助)。当我最近检查流行的起酥服务是否在令牌中使用少量字符时,ow.ly和tinyurl都具有六个字符的令牌,而bit.ly则使用了七个字符。
它比Google的前五个更好,但仍然令人担心,人们可能会以这种方式发送对重要文件或个人信息的访问权限。康奈尔理工学院的研究人员证明,对这些URL进行简单的暴力扫描可以揭示特定用户上数量惊人的信息,其中包括一些关于身份盗用的最重要信息。
那该怎么办?你做?为完全安全起见,请勿将URL缩短器用于可能对黑客,身份窃贼或其他不法行为有价值的内容。缩短器确实有用,但是在大多数情况下,长URL可以正常工作。它很大,很丑陋,并且在电子邮件或聊天窗口中占用很多空间,但是它也更安全。
此外,请注意,许多其他服务都提供URL缩短功能,您可能想要还要小心那些人。这些服务中每个服务如何使用缩短的URL处理权限可能会有所不同,但是,如果您不小心放弃了对Flickr,Google Photos,Google云端硬盘,Twitter,Facebook或其他帖子的访问,则很难知道会发生什么。 p>
如果可以选择使用长度超过六个或七个字符的令牌来缩短URL,则应该使用它。研究人员在他们的论文中说,Google Maps使用的11个字符和12个字符的令牌不是蛮力的(至少在目前的技术和合理的努力下),因此针对至少10个字符可能是一个好主意。
或者只是制作自己的URL缩短器,并确保它在URL令牌中使用足够的字符!
您是否使用URL缩短器?
似乎正在缩短服务随着新服务的定期弹出,它的受欢迎程度不断提高。 Twitter的140个字符的限制以及在移动设备上处理长文本字符串的困难可能是其实用性的原因,并且以更易于查看的格式发送链接的能力无疑吸引人。毫无疑问,它们非常方便,但这种方便可能不值得冒险。
您是否使用URL缩短服务?您使用哪一个?您将其用于敏感文档还是仅用于公共链接?您现在是否担心链接的安全性?在下面分享您的想法!
图片来源:Georgiev和Shmatikov通过arXiv。
