¿Los enlaces acortados comprometen su seguridad?

Acortadores de URL Pruebe 10 diferentes acortadores de URL que le brindan beneficios adicionales Pruebe con 10 acortadores de URL diferentes que le brinden beneficios adicionales ¿Qué tan diferente puede acortar un localizador de recursos uniforme? Bueno, el sistema de acortamiento es prácticamente un trabajo común, pero el truco parece estar en los extras que vienen con el servicio de acortamiento ... Lea más como bit.ly, goo.gl, tinyurl y ow. Son geniales para que sea más fácil compartir enlaces; no tienes que pegar una URL muy larga y fea en una ventana de chat o en un correo electrónico para ayudar a alguien a encontrar el camino a la página a la que quieres que llegue. Pero un estudio reciente demostró que esta conveniencia podría tener un costo significativo para su seguridad..

El estudio

En el transcurso de 18 meses, dos investigadores de Cornell Tech analizaron las URL acortadas creadas por dos servicios diferentes: Microsoft OneDrive y Google Maps. Ambos servicios crean enlaces acortados para compartir páginas web (OneDrive los usa para compartir el acceso a los documentos y Google Maps los usa para compartir direcciones o ubicaciones).

Debido a la pequeña cantidad de caracteres utilizados en estos enlaces acortados, los investigadores pudieron usar un ataque de fuerza bruta para encontrar URL acortadas que vincularan a documentos reales. Los investigadores analizaron 100,000,000 bit.ly URLs con tokens de seis caracteres elegidos al azar (como “1maQ2JZ”). El 42% de todos los tokens se resolvieron como URL completos reales, y casi 19,500 de ellos llevaron a los documentos de OneDrive.

Los investigadores también encontraron casi 24,000,000 enlaces en vivo al escanear los tokens de cinco caracteres utilizados anteriormente por goo.gl/maps, alrededor del 10% de los cuales fueron para instrucciones de manejo..

Obtener acceso a los documentos de OneDrive y las direcciones de Google Maps ya es bastante malo, pero los investigadores descubrieron que podían hacer aún más con la información que recuperaron de esos enlaces. Por ejemplo, al analizar la estructura estándar de las URL de OneDrive, pudieron navegar y obtener acceso a una cantidad de cuentas de OneDrive, muchas de las cuales encontraron que podían escribirse, lo que significa que podían cambiar archivos o cargar malware que se descargaría automáticamente a la computadora del dueño.

Y con Google Maps, los investigadores descubrieron una gran cantidad de información que la gente probablemente querría mantener en privado. Al mirar las direcciones residenciales, podrían hacer suposiciones informadas sobre qué hogares incluían a una persona que acudía a clínicas especializadas para recibir tratamiento médico, centros de tratamiento de adicciones, clubes de striptease y proveedores de servicios de aborto. Se ha demostrado que la información de ubicación es muy valiosa. ¿Qué pueden decir las agencias de seguridad del gobierno a partir de los metadatos de su teléfono? ¿Qué pueden decir las agencias de seguridad del gobierno a partir de los metadatos de su teléfono? Lea más para obtener información de identificación para individuos, y esa información combinada con un tipo de historial de viaje abreviado podría ser muy útil para los ladrones de identidad.

Si desea ver el artículo completo publicado, puede consultarlo en arXiv, y uno de los investigadores también publicó una publicación en el blog con un resumen útil..

Cambios realizados

Los investigadores de Cornell Tech compartieron sus resultados con Microsoft y Google, y ambas compañías han tomado medidas para disminuir la probabilidad de que sus usuarios puedan verse comprometidos por URL acortadas..

El acortamiento de la URL se eliminó de la interfaz de OneDrive, y el método utilizado para obtener más información sobre la cuenta del usuario ya no funciona (a pesar de la negativa de Microsoft de que sus cambios tuvieron algo que ver con este informe o que el estudio incluso reveló una vulnerabilidad de seguridad). Los viejos enlaces acortados, sin embargo, siguen siendo vulnerables..

Google Maps ahora usa tokens de 11 y 12 caracteres en lugar de los de cinco caracteres ofrecidos anteriormente, lo que hace que sea mucho más difícil revelarlos con un ataque de fuerza bruta. Google también dificultó el escaneo de una gran cantidad de URL a la vez..

Ten cuidado

A pesar de que estos dos servicios han tomado medidas para mitigar la amenaza, la posibilidad de más vulnerabilidades en el proceso de acortamiento de enlaces probablemente se encontrará en el futuro (computadoras más y más poderosas: ¿Computadoras cuánticas: ¿el fin de la criptografía? ¿Fin de la criptografía? La computación cuántica como idea ha existido por un tiempo: la posibilidad teórica se introdujo originalmente en 1982. En los últimos años, el campo se ha acercado a la práctica. Leer más sin duda ayudará. Cuando verifiqué recientemente para ver si los servicios de acortamiento populares usaban pequeñas cantidades de caracteres en sus fichas, tanto ow.ly como tinyurl tenían fichas de seis caracteres, y bit.ly usaba siete.

Si bien ambos son mejores que los cinco anteriores de Google, sigue siendo preocupante que las personas puedan enviar el acceso a archivos importantes o información personal de esta manera. Los investigadores de Cornell Tech demostraron que un simple análisis de fuerza bruta de estas URL puede revelar una sorprendente cantidad de información sobre usuarios específicos, incluyendo algunos de los datos más importantes para el robo de identidad. 10 piezas de información que se utilizan para robar su identidad. 10 piezas de información que se utilizan para robar su identidad Según la Oficina de Justicia de los EE. UU., El robo de identidad costó a las víctimas más de $ 24 mil millones en 2012, más que el robo de casas, el robo de vehículos y el robo de propiedades. Estas 10 piezas de información son lo que los ladrones buscan ... Leer más .

Entonces, ¿qué debería hacer? Para estar totalmente seguro, simplemente no use los acortadores de URL para nada que pueda ser valioso para un pirata informático, un ladrón de identidad u otro malhechor. Los acortadores son realmente útiles, pero la mayoría de las veces, una URL larga funcionará bien. Es grande, feo y ocupa mucho espacio en un correo electrónico o en una ventana de chat, pero también es mucho más seguro..

Además, tenga en cuenta que muchos otros servicios ofrecen acortamiento de URL, y es posible que también desee tener cuidado con ellos. Es probable que cada uno de esos servicios maneje los permisos con las URL acortadas, pero si accidentalmente otorgó acceso a un Flickr, Google Photos, Google Drive, Twitter, Facebook u otra publicación, es difícil saber qué pasará..

Si te dan la opción de acortar una URL con un token que tenga más de seis o siete caracteres, deberías tomarla. Los investigadores dijeron en su artículo que los tokens de 11 y 12 caracteres utilizados por Google Maps no son de fuerza bruta (al menos con la tecnología actual y un esfuerzo razonable), por lo que apuntar al menos a 10 es probablemente una buena idea.

O simplemente cree su propio acortador de URL. Las ventajas de configurar su propio acortador de URL y cómo hacerlo. Las ventajas de configurar su propio acortador de URL y cómo hacerlo. En un mundo de 140 caracteres y cortos períodos de atención, debe Obtenga la mayor cantidad de texto posible en su estado de Twitter, si va a transmitir su mensaje de manera efectiva. Lee más y asegúrate de que usa suficientes caracteres en sus tokens de URL!

¿Utiliza acortadores de URL?

Los servicios de reducción parecen estar aumentando en popularidad, con la aparición de nuevos servicios con regularidad. El límite de 140 caracteres de Twitter y la dificultad de trabajar con largas cadenas de texto en dispositivos móviles. El acortador de URL es el cuchillo suizo de compartir enlaces y guardar en Android El acortador de URL es el cuchillo suizo de compartir enlaces y guardar en Android Lo que distingue al acortador de URL es con qué facilidad le permite guardar enlaces, copiarlos en un portapapeles o compartirlos directamente desde un menú. Es probable que Read More haya contribuido a su utilidad, y la capacidad de enviar un enlace en un formato mucho más fácil para el espectador es ciertamente atractiva. No se puede argumentar que sean muy convenientes, pero la conveniencia puede no valer la pena..

¿Utiliza un servicio de acortamiento de URL? ¿Cuál usas? ¿Lo utiliza para documentos confidenciales, o solo para enlaces de acceso público? ¿Estás preocupado por la seguridad de tus enlaces? Comparte tus pensamientos a continuación!

Créditos de la imagen: Georgiev y Shmatikov a través de arXiv.

Explore más sobre: ​​Seguridad en línea, Acortador de URL.