• IT-Karriere:
  • Services:

Brute-Force: Wenn Kurz-URLs zur Sicherheitslücke werden

Verkürzte URLs lassen sich systematisch untersuchen und offenbaren dann private Daten. So lassen sich Bewegungsprofile erstellen, Informationen sammeln und sogar Malware könnte leicht über Cloud-Dienste verteilt werden, zeigt nun eine Studie.

Artikel veröffentlicht am ,
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben.
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben. (Bild: Freedom to Tinker)

Eigentlich ist es nicht überraschend, dass sich URLs systematisch durchprobieren lassen, wenn diese von Diensten wie Bit.ly oder Goo.gl verkürzt worden sind - diese sind ja eben nur wenige Zeichen lang. Wie eine Studie nun zeigt, verbergen sich hinter den so aufgefundenen Links aber oft private Informationen, die eigentlich geschützt werden sollten. Einige Cloud-Instanzen hätten sogar zum Verteilen von Malware ausgenutzt werden können.

Stellenmarkt
  1. Klinikum Landkreis Tuttlingen, Tuttlingen
  2. Scheidt & Bachmann GmbH, Mönchengladbach

Der Informatikprofessor der Cornell University, Vitaly Shmatikov, schreibt dazu, dass die URLs, die hinter den verkürzen Links stecken, quasi öffentlich seien und von jedem mit ein bisschen Geduld sowie einigen Rechnern aufgefunden werden könnten. Das Problem dabei ist aber nicht unbedingt, dass die URLs gefunden werden könnten, sondern dass die Informationen nicht weiter geschützt werden könnten.

Wege auf Google Maps und mögliche Malware in Onedrive

Unter den gefundenen URLs waren etwa 2 Millionen Links auf geplante Routen von Google Maps. Darunter seien Richtungsanweisungen zu Orten wie Kliniken für psychische Erkrankungen, Anbietern von Abtreibungen oder auch "Gentlemen's Clubs". Oft seien die Ausgangspunkte der geplanten Routen Adressen von Einfamilienhäusern, so dass sich Personen und gewählte Ziele durch eine kurze Onlinerecherche schnell miteinander verknüpfen lassen könnten. Nach einem Hinweis auf diese Ergebnisse habe Google seine Shortlinks verlängert und werde gegen das systematische Überprüfen der URLs vorgehen.

Eine Möglichkeit für einen Angriff mit Malware habe sich in der Studie durch die Untersuchung von Links des Microsoft-Dienstes Onedrive ergeben, die von Bit.ly erstellt werden. Aus den so gefundenen Dateien und Ordnern hätten sich die Adressen für die jeweiligen Wurzelverzeichnisse erstellen lassen und somit weitere Dateien finden können. So seien nicht nur über 1 Million Dokumente frei zugänglich gewesen, in 7 Prozent der Accounts hätten die Forscher sogar hineinschreiben können. Es hätte also sehr leicht Malware an Onedrive-Nutzer verteilt werden können.

Laut Shmatikov habe Microsoft's Security Response Center (MSRC) diese Ergebnisse als Designprinzip beschrieben und den Fall nicht weiter behandeln wollen. Zwar gebe es in Onedrive inzwischen keine Option mehr, die Links zu verkürzen und Ordner ließen sich nicht mehr einfach durchsuchen. Diese Änderungen seien aber nicht wegen der Studie vorgenommen worden. Das MSRC habe Shmatikov außerdem erneut bestätigt, dass es sich nicht um eine Sicherheitslücke gehandelt habe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 29,99€
  2. 19,99
  3. 2,49€
  4. (-80%) 9,99€

Vielfalt 17. Apr 2016

Wie will man bitte gegen das automatisierte probieren von Shortlinks vorgehen? Google...

Der mit dem Blubb 16. Apr 2016

Kam das nicht hauptsächlich wegen Twitter und der Zeichenbegrenzung? Mir begegnen...

Spaghetticode 16. Apr 2016

Habe ich noch nicht erlebt. In der Regel werden mir Rechnungen direkt als E-Mail-Anhang...

cephei 16. Apr 2016

https://goo.gl/PuV4z7


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

    •  /