15.04.2016

Zkracovače adres mohou útočníka pustit do vašeho soukromí

Oblíbenost URL zkracovačů je na vzestupu. Každý se někdy setkal se zkratkami goo.gl, bit.ly či nějakou z jejich obnov. Často přijdou vhod, ať už při potřebě zkrátit délku příspěvku (třeba na Twitteru) nebo zkrátka pro autorovo estetické cítění. Nyní však výzkumníci ze společnosti Cornell Tech předvedli, jak skvělým nástrojem jsou tyto zkracovače pro hackery.

Notebook 748855 1280

Výzkumníci předvedli neočekávanou slabost těchto zkracovačů proti útokům hrubou silou. Generováním zkrácených URL získali přístup k původně soukromým souborům. V některých případech na cloudovém úložišti Microsoftu získali i právo zápisu, a mohli proto na počítače uživatelů šířit bez povšimnutí malware. Z Google Map vydolovali například to, kdo hledal trasu k potratové klinice nebo do protidrogové léčebny.

Výzkumníci z Cornell Tech s výzkumem začali před více než rokem a půl, když si všimli, že určité služby Microsoftu a Googlu, konkrétně Microsoft OneDrive a Google Mapy, používají pro generování webových adres pouze se šesti zdánlivě náhodnými znaky, zkracovač Bit.ly. Šest znaků je dostatečně nízké množství na to, aby odhodlaný člověk zvládnul použít software k automatickému generování, navštěvování a analyzování všech milionů možných zkrácených adres. „S dostatečným počtem přístrojů můžete prohledat všechno,” říká Vitaly Shmatikov z Corenell Techu. „Prostě náhodně generujete URL a vidíte, co skrývají.”

Lidé často věří, že jsou tyto zkrácené adresy soukromé, a mají k nim přístup pouze oni a ti, kterým odkaz poslali. K jejich obsahu však může získat přístup v podstatě kdokoliv, což vede k vážným bezpečnostním ohrožením.

Když výzkumníci na svou práci v září minulého roku upozornili Google, společnost odpověděla prodloužením zkrácené URL na 11 nebo 12 náhodných znaků a přijala nové opatření na identifikaci a zablokování automatickýh skenerů zkrácených URL. Microsoft přes své počáteční zdráhání zareagoval podobně.

Více na www.wired.com

Kam dál?