Недавнее исследование (PDF) двух экспертов в области информационной безопасности, которое длилось целых 18 месяцев говорит, что сервисы сокращения длинных ссылок, столь часто используемые многими интернет-пользователями, могут представлять собой серьёзную угрозу безопасности.
В ходе исследования Виталий Шматиков из Корнелльского университета и независимый эксперт Мартин Георгиев тщательно проанализировали методы сокращения URL-адресов, используемые Microsoft и Google в сервисах OneDrive и Maps соответственно. Результаты оказались весьма неутешительными. Исследователи отметили, что для создания сокращенных ссылок на файлы в облачном хранилище OneDrive компания Microsoft использует сервис Bitly, а сами ссылки имеют весьма предсказуемую конструкцию. Как утверждается, это существенно облегчает злоумышленникам задачу получения доступа к другим файлам конкретного пользователя методом простого подбора ссылок.
Исследователям удалось не только получить доступ к файлам, содержащим некоторые конфиденциальные данные, но и обнаружить, что лишь небольшая часть этих файлов не была защищена от случайного удаления и изменения содержимого. Именно эта часть файлов, лишенная статуса «только для чтения», была подвержена высокому риску внедрения вредоносного ПО и вирусов.
Что же касается сокращенных ссылок в картографическом сервисе Google Maps, исследователям, как утверждается, удалось расшифровать URL-адреса с пятисимвольными токенами и в точности узнать маршруты и текущее местоположение пользователей.
К счастью, обе компании отреагировали на сообщения исследователей о найденных уязвимостях и внесли соответствующее изменения и используемые сервисами OneDrive и Google Maps методы сокращения ссылок. Как утверждается, компания Google отреагировала очень быстро и внедрила дополнительные меры защиты – функцию защиты от ботов и токены с 11-12 символами. Компания Microsoft была не столь признательной к исследователям. И хотя редмондцы убрали функцию сокращения ссылок из собственного сервиса OneDrive в прошлом месяце, они отрицают связь между своим решением и уязвимостью, найденной исследователями.
Существует несколько способов сделать сокращенные ссылки безопаснее: отказаться от публичных сервисов вроде Bitly в пользу собственных разработок, внедрить защиту от интернет-ботов с помощью решений вроде CAPTCHA, а также разработать надежные API, которые сделают невозможным использование метода подбора для доступа к другим файлам пользователя.
Источник: TNW