Apakah Tautan Dipendek Mengompromikan Keamanan Anda?

Iklan

Penyingkat URL Cobalah 10 Pemendek URL Berbeda yang Memberi Anda Manfaat TambahanSeberapa berbeda Anda dapat mempersingkat pencari sumber daya yang seragam? Nah, sistem pemendekan ini merupakan pekerjaan yang hampir tidak ada, tetapi triknya sepertinya ada di ekstra yang datang dengan layanan pemendekan ... Baca lebih banyak seperti bit.ly, goo.gl, tinyurl, dan ow.ly bagus untuk mempermudah berbagi tautan; Anda tidak perlu menempel URL yang sangat panjang dan jelek ke jendela obrolan atau email untuk membantu seseorang menemukan jalan mereka ke halaman yang Anda inginkan. Tetapi sebuah studi baru-baru ini menunjukkan bahwa kenyamanan ini bisa datang dengan biaya yang signifikan untuk keamanan Anda.

Pembelajaran

Selama 18 bulan, dua peneliti di Cornell Tech melihat URL singkat yang dibuat oleh dua layanan berbeda: Microsoft OneDrive dan Google Maps. Kedua layanan membuat tautan singkat untuk berbagi halaman web (OneDrive menggunakannya untuk berbagi akses ke dokumen, dan Google Maps menggunakannya untuk berbagi arah atau lokasi).

Karena sejumlah kecil karakter yang digunakan dalam tautan yang diperpendek ini, para peneliti dapat menggunakan serangan brute force untuk menemukan URL singkat yang ditautkan dengan dokumen yang sebenarnya. Para peneliti menganalisis 100.000.000 bit.ly URL dengan token enam karakter yang dipilih secara acak (seperti "1maQ2JZ"). 42% dari semua token diselesaikan ke URL lengkap yang sebenarnya, dan hampir 19.500 di antaranya mengarah ke dokumen OneDrive.

Para peneliti juga menemukan hampir 24.000.000 tautan langsung ketika memindai token lima karakter yang sebelumnya digunakan oleh goo.gl/maps, sekitar 10% di antaranya untuk petunjuk arah mengemudi.

Mendapatkan akses ke dokumen OneDrive dan arahan Google Maps sudah cukup buruk, tetapi para peneliti menemukan bahwa mereka dapat melakukan lebih banyak lagi dengan informasi yang mereka pulihkan dari tautan tersebut. Misalnya, dengan menganalisis struktur standar URL OneDrive, mereka dapat menavigasi dan mendapatkan akses ke sejumlah akun OneDrive, banyak dari yang mereka temukan sebenarnya dapat ditulisi, artinya mereka dapat mengubah file atau mengunggah malware yang akan diunduh secara otomatis ke pemiliknya komputer.

Dan dengan Google Maps, para peneliti menemukan banyak informasi yang orang mungkin ingin merahasiakannya. Dengan melihat alamat tempat tinggal, mereka dapat membuat tebakan yang mendidik tentang rumah tangga mana yang termasuk orang yang pergi ke klinik spesialis untuk perawatan medis, pusat perawatan kecanduan, klub strip, dan penyedia aborsi. Sudah ditunjukkan itu informasi lokasi sangat berharga Apa Yang Dapat Diceritakan oleh Lembaga Keamanan Pemerintah Dari Metadata Ponsel Anda? Baca lebih banyak dalam mendapatkan informasi pengidentifikasian untuk individu, dan bahwa informasi yang digabungkan dengan semacam riwayat perjalanan singkat dapat sangat berguna bagi pencuri identitas.

Jika Anda ingin melihat artikel yang diterbitkan penuh, Anda bisa lihat di arXiv, dan salah satu peneliti juga menerbitkan posting blog dengan ringkasan yang bermanfaat.

Perubahan Dibuat

Peneliti Cornell Tech membagikan hasil mereka dengan Microsoft dan Google, dan kedua perusahaan telah mengambil langkah-langkah untuk mengurangi kemungkinan bahwa pengguna mereka dapat dikompromikan oleh URL yang diperpendek.

Pemendekan URL telah dihapus dari antarmuka OneDrive, dan metode yang digunakan untuk mendapatkan lebih banyak informasi tentang akun pengguna tidak lagi berfungsi (terlepas dari penolakan Microsoft bahwa perubahan mereka ada hubungannya dengan laporan ini atau bahwa penelitian bahkan mengungkapkan keamanan kerentanan). Namun, tautan lama yang diperpendek tetap rentan.

Google Maps sekarang menggunakan token 11 dan 12 karakter daripada lima token yang ditawarkan sebelumnya, membuatnya lebih sulit untuk mengungkapkannya dengan serangan brute force. Google juga mempersulit pemindaian sejumlah besar URL secara bersamaan.

Tetap Hati-hati

Meskipun kedua layanan ini telah mengambil langkah-langkah untuk mengurangi ancaman, kemungkinan lebih banyak kerentanan dalam proses pemendekan tautan kemungkinan akan ditemukan di masa mendatang (semakin banyak komputer yang kuat Komputer Quantum: Akhir Kriptografi?Komputasi kuantum sebagai sebuah ide telah ada untuk sementara waktu - kemungkinan teoretis awalnya diperkenalkan pada tahun 1982. Selama beberapa tahun terakhir, bidang ini semakin mendekati kepraktisan. Baca lebih banyak pasti akan membantu). Ketika saya baru-baru ini memeriksa untuk melihat apakah layanan shortening populer menggunakan sejumlah kecil karakter dalam token mereka, baik ow.ly dan tinyurl memiliki token enam karakter, dan bit.ly menggunakan tujuh.

Meskipun keduanya lebih baik daripada lima Google sebelumnya, masih mengkhawatirkan bahwa orang-orang dapat mengirim akses ke file penting atau informasi pribadi dengan cara ini. Para peneliti Cornell Tech mendemonstrasikan bahwa pemindaian kasar sederhana dari URL-URL ini dapat mengungkapkan sejumlah informasi mengejutkan tentang pengguna tertentu, termasuk beberapa sebagian besar informasi penting untuk pencurian identitas 10 Potongan Informasi Yang Digunakan Untuk Mencuri Identitas AndaPencurian identitas bisa mahal. Berikut adalah 10 informasi yang Anda perlu lindungi agar identitas Anda tidak dicuri. Baca lebih banyak .

Jadi apa yang harus kamu lakukan? Agar benar-benar aman, jangan gunakan penyingkat URL untuk apa pun yang bisa berharga bagi peretas, pencuri identitas, atau penjahat lainnya. Penyingkat sangat berguna, tetapi sebagian besar waktu, URL yang panjang akan berfungsi dengan baik. Ini besar, jelek, dan membutuhkan banyak ruang di email atau jendela obrolan, tetapi juga jauh lebih aman.

Perlu diketahui juga bahwa banyak layanan lain menawarkan pemendekan URL, dan Anda mungkin ingin berhati-hati dengan itu. Bagaimana masing-masing layanan tersebut menangani izin dengan URL yang diperpendek cenderung berbeda, tetapi jika Anda memberi secara tidak sengaja akses jauh ke Flickr, Foto Google, Google Drive, Twitter, Facebook, atau pos lain, sulit untuk mengetahui apa yang akan terjadi.

Jika Anda diberi pilihan untuk mempersingkat URL dengan token yang lebih dari enam atau tujuh karakter, Anda harus menerimanya. Para peneliti mengatakan dalam makalah mereka bahwa token 11-dan 12-karakter yang digunakan oleh Google Maps tidak kasar (setidaknya dengan teknologi saat ini dan jumlah usaha yang masuk akal), jadi membidik setidaknya 10 mungkin bagus ide.

Atau hanya buat pemendek URL Anda sendiri Keuntungan Menyiapkan Pemendek URL Anda Sendiri dan Cara MelakukannyaDalam dunia yang terdiri dari 140 karakter, dan rentang perhatian yang pendek, Anda perlu mendapatkan sebanyak mungkin teks dalam status Twitter Anda, jika Anda ingin menyampaikan pesan Anda secara efektif. Baca lebih banyak dan pastikan ia menggunakan cukup banyak karakter dalam token URL-nya!

Apakah Anda Menggunakan Penyingkat URL?

Layanan memperpendek tampaknya meningkat popularitasnya, dengan layanan baru bermunculan secara teratur. Batas 140 karakter Twitter dan kesulitannya bekerja dengan string teks yang panjang di perangkat seluler URL Shortener Adalah Pisau Swiss Tautan Berbagi Dan Menyimpan Di AndroidYang membedakan URL Shortener adalah betapa mudahnya bagi Anda untuk menyimpan tautan, menyalinnya ke clipboard, atau membagikannya langsung dari menu. Baca lebih banyak kemungkinan telah berkontribusi pada kegunaannya, dan kemampuan untuk mengirim tautan dalam format yang lebih ramah terhadap penonton tentu saja menarik. Tidak ada alasan mereka sangat nyaman, tetapi kenyamanan mungkin tidak sepadan dengan risikonya.

Apakah Anda menggunakan layanan pemendek URL? Yang mana yang Anda gunakan? Apakah Anda menggunakannya untuk dokumen sensitif, atau hanya untuk tautan yang dapat diakses publik? Apakah Anda sekarang khawatir dengan keamanan tautan Anda? Bagikan pemikiran Anda di bawah ini!

Kredit gambar: Georgiev dan Shmatikov via arXiv.