Zkracovátka URL adres mohou být nebezpečná

Zkracování URL adres je velmi pohodlné, protože se s nimi lépe pracuje. Existují také služby určené k redukci dlouhých URL adres - např. bit.ly. Podobné služby nabízí například i Google, nebo Microsoft OneDrive. Výzkum vypracovaný společností Cornell Tech’s však ukazuje, že zkrácené adresy mohou být nebezpečné. Jsou totiž tak krátké, že mohou být prohledané bruteforce metodou. Výzkumníci tvrdí, že všechny soukromé URL adresy jsou ve skutečnosti veřejné.

Studie se zaměřila především na zkracovače firem Google a Microsoft, které jsou součástí jejich Cloudových uložišť. Výzkumníkům se podařilo dostat do celé řady soukromých dokumentů a podle všeho 7% z nich by mohlo být nakaženo nějakým malwarem, který by se tak mohl dál šířit na další data na cloudu (napříč všemi zařízeními).

Adresy mají obvykle předvídatelnou strukturu, proto není problém se při nalezení jednoho souboru dostat i k dalším souborům daného uživatele. Podobně jednoduše prolomitelné mohou být adresy souřadnic, které fungují na Google Maps. S trochou snahy lze také zjistit, kudy se která osoba pohybuje, kde bydlí a jak se jmenuje.

Výzkum také navrhl několik řešení problému. Např. 1. prodloužit URL adresy. 2. Dát uživatelům vědět, že existují nějaká rizika. Nebo 3) Implementovat CAPTCHu, která zamezí přístup automatickým skenerům URL adres.

Microsoft na výzkum reagoval odstraněním této funkce z OneDrive. Google během šestí dnů zavedl delší URL adresy.

Zdroj: Naked Sekurity