Brute-Force: Wenn Kurz-URLs zur Sicherheitslücke werden

Verkürzte URLs lassen sich systematisch untersuchen und offenbaren dann private Daten. So lassen sich Bewegungsprofile erstellen, Informationen sammeln und sogar Malware könnte leicht über Cloud-Dienste verteilt werden, zeigt nun eine Studie.

Artikel veröffentlicht am ,
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben.
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben. (Bild: Freedom to Tinker)

Eigentlich ist es nicht überraschend, dass sich URLs systematisch durchprobieren lassen, wenn diese von Diensten wie Bit.ly oder Goo.gl verkürzt worden sind - diese sind ja eben nur wenige Zeichen lang. Wie eine Studie nun zeigt, verbergen sich hinter den so aufgefundenen Links aber oft private Informationen, die eigentlich geschützt werden sollten. Einige Cloud-Instanzen hätten sogar zum Verteilen von Malware ausgenutzt werden können.

Stellenmarkt
  1. SAP Berater (m/w/d) Rechnungswesen und Logistik
    Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg
  2. DevOps Engineer im Bereich Medizinische Forschung
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Der Informatikprofessor der Cornell University, Vitaly Shmatikov, schreibt dazu, dass die URLs, die hinter den verkürzen Links stecken, quasi öffentlich seien und von jedem mit ein bisschen Geduld sowie einigen Rechnern aufgefunden werden könnten. Das Problem dabei ist aber nicht unbedingt, dass die URLs gefunden werden könnten, sondern dass die Informationen nicht weiter geschützt werden könnten.

Wege auf Google Maps und mögliche Malware in Onedrive

Unter den gefundenen URLs waren etwa 2 Millionen Links auf geplante Routen von Google Maps. Darunter seien Richtungsanweisungen zu Orten wie Kliniken für psychische Erkrankungen, Anbietern von Abtreibungen oder auch "Gentlemen's Clubs". Oft seien die Ausgangspunkte der geplanten Routen Adressen von Einfamilienhäusern, so dass sich Personen und gewählte Ziele durch eine kurze Onlinerecherche schnell miteinander verknüpfen lassen könnten. Nach einem Hinweis auf diese Ergebnisse habe Google seine Shortlinks verlängert und werde gegen das systematische Überprüfen der URLs vorgehen.

Eine Möglichkeit für einen Angriff mit Malware habe sich in der Studie durch die Untersuchung von Links des Microsoft-Dienstes Onedrive ergeben, die von Bit.ly erstellt werden. Aus den so gefundenen Dateien und Ordnern hätten sich die Adressen für die jeweiligen Wurzelverzeichnisse erstellen lassen und somit weitere Dateien finden können. So seien nicht nur über 1 Million Dokumente frei zugänglich gewesen, in 7 Prozent der Accounts hätten die Forscher sogar hineinschreiben können. Es hätte also sehr leicht Malware an Onedrive-Nutzer verteilt werden können.

Golem Akademie
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    19./20.05.2022, Virtuell
Weitere IT-Trainings

Laut Shmatikov habe Microsoft's Security Response Center (MSRC) diese Ergebnisse als Designprinzip beschrieben und den Fall nicht weiter behandeln wollen. Zwar gebe es in Onedrive inzwischen keine Option mehr, die Links zu verkürzen und Ordner ließen sich nicht mehr einfach durchsuchen. Diese Änderungen seien aber nicht wegen der Studie vorgenommen worden. Das MSRC habe Shmatikov außerdem erneut bestätigt, dass es sich nicht um eine Sicherheitslücke gehandelt habe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Vielfalt 17. Apr 2016

Wie will man bitte gegen das automatisierte probieren von Shortlinks vorgehen? Google...

Der mit dem Blubb 16. Apr 2016

Kam das nicht hauptsächlich wegen Twitter und der Zeichenbegrenzung? Mir begegnen...

Spaghetticode 16. Apr 2016

Habe ich noch nicht erlebt. In der Regel werden mir Rechnungen direkt als E-Mail-Anhang...

cephei 16. Apr 2016

https://goo.gl/PuV4z7



Aktuell auf der Startseite von Golem.de
Love, Death + Robots 3
Mal spannend, mal tragisch, mal gelungen, mal nicht so

Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
Von Peter Osteried

Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Github, Bill Gates, EEG-Umlage: Bill Gates hält nichts von Kryptogeld
    Github, Bill Gates, EEG-Umlage
    Bill Gates hält nichts von Kryptogeld

    Sonst noch was? Was am 20. Mai 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Fernsehen: Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung
    Fernsehen
    Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung

    Satelliten-Fernsehen ist die beste Möglichkeit, sich eine private Film- und Seriendatenbank aufzubauen. Wir zeigen, welche Technik gebraucht und wie sie eingerichtet wird.
    Eine Anleitung von Mathias Küfner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /