Abo
  • Services:

Brute-Force: Wenn Kurz-URLs zur Sicherheitslücke werden

Verkürzte URLs lassen sich systematisch untersuchen und offenbaren dann private Daten. So lassen sich Bewegungsprofile erstellen, Informationen sammeln und sogar Malware könnte leicht über Cloud-Dienste verteilt werden, zeigt nun eine Studie.

Artikel veröffentlicht am ,
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben.
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben. (Bild: Freedom to Tinker)

Eigentlich ist es nicht überraschend, dass sich URLs systematisch durchprobieren lassen, wenn diese von Diensten wie Bit.ly oder Goo.gl verkürzt worden sind - diese sind ja eben nur wenige Zeichen lang. Wie eine Studie nun zeigt, verbergen sich hinter den so aufgefundenen Links aber oft private Informationen, die eigentlich geschützt werden sollten. Einige Cloud-Instanzen hätten sogar zum Verteilen von Malware ausgenutzt werden können.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Der Informatikprofessor der Cornell University, Vitaly Shmatikov, schreibt dazu, dass die URLs, die hinter den verkürzen Links stecken, quasi öffentlich seien und von jedem mit ein bisschen Geduld sowie einigen Rechnern aufgefunden werden könnten. Das Problem dabei ist aber nicht unbedingt, dass die URLs gefunden werden könnten, sondern dass die Informationen nicht weiter geschützt werden könnten.

Wege auf Google Maps und mögliche Malware in Onedrive

Unter den gefundenen URLs waren etwa 2 Millionen Links auf geplante Routen von Google Maps. Darunter seien Richtungsanweisungen zu Orten wie Kliniken für psychische Erkrankungen, Anbietern von Abtreibungen oder auch "Gentlemen's Clubs". Oft seien die Ausgangspunkte der geplanten Routen Adressen von Einfamilienhäusern, so dass sich Personen und gewählte Ziele durch eine kurze Onlinerecherche schnell miteinander verknüpfen lassen könnten. Nach einem Hinweis auf diese Ergebnisse habe Google seine Shortlinks verlängert und werde gegen das systematische Überprüfen der URLs vorgehen.

Eine Möglichkeit für einen Angriff mit Malware habe sich in der Studie durch die Untersuchung von Links des Microsoft-Dienstes Onedrive ergeben, die von Bit.ly erstellt werden. Aus den so gefundenen Dateien und Ordnern hätten sich die Adressen für die jeweiligen Wurzelverzeichnisse erstellen lassen und somit weitere Dateien finden können. So seien nicht nur über 1 Million Dokumente frei zugänglich gewesen, in 7 Prozent der Accounts hätten die Forscher sogar hineinschreiben können. Es hätte also sehr leicht Malware an Onedrive-Nutzer verteilt werden können.

Laut Shmatikov habe Microsoft's Security Response Center (MSRC) diese Ergebnisse als Designprinzip beschrieben und den Fall nicht weiter behandeln wollen. Zwar gebe es in Onedrive inzwischen keine Option mehr, die Links zu verkürzen und Ordner ließen sich nicht mehr einfach durchsuchen. Diese Änderungen seien aber nicht wegen der Studie vorgenommen worden. Das MSRC habe Shmatikov außerdem erneut bestätigt, dass es sich nicht um eine Sicherheitslücke gehandelt habe.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

Vielfalt 17. Apr 2016

Wie will man bitte gegen das automatisierte probieren von Shortlinks vorgehen? Google...

Der mit dem Blubb 16. Apr 2016

Kam das nicht hauptsächlich wegen Twitter und der Zeichenbegrenzung? Mir begegnen...

Spaghetticode 16. Apr 2016

Habe ich noch nicht erlebt. In der Regel werden mir Rechnungen direkt als E-Mail-Anhang...

cephei 16. Apr 2016

https://goo.gl/PuV4z7


Folgen Sie uns
       


Ladevorgang beim Audi E-Tron

Wie schnell lässt sich der neue Audi E-Tron tatsächlich laden?

Ladevorgang beim Audi E-Tron Video aufrufen
Slighter im Hands on: Wenn das Feuerzeug smarter als der Raucher ist
Slighter im Hands on
Wenn das Feuerzeug smarter als der Raucher ist

CES 2019 Mit Slighter könnte ausgerechnet ein Feuerzeug Rauchern beim Aufhören helfen: Ausgehend von den Rauchgewohnheiten erstellt es einen Plan - und gibt nur zu ganz bestimmten Zeiten eine Flamme.
Ein Hands on von Tobias Költzsch

  1. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show
  2. Royole Flexpai im Hands on Display top, Software flop
  3. Alienware Area 51m angesehen Aufrüstbares Gaming-Notebook mit frischem Design

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion
  2. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  3. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

    •  /