Abo
  • Services:
Anzeige
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben.
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben. (Bild: Freedom to Tinker)

Brute-Force: Wenn Kurz-URLs zur Sicherheitslücke werden

Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben.
Shortlinks sind öffentliche Informationen, für die Nutzer könnte das schwerwiegende Folgen haben. (Bild: Freedom to Tinker)

Verkürzte URLs lassen sich systematisch untersuchen und offenbaren dann private Daten. So lassen sich Bewegungsprofile erstellen, Informationen sammeln und sogar Malware könnte leicht über Cloud-Dienste verteilt werden, zeigt nun eine Studie.

Eigentlich ist es nicht überraschend, dass sich URLs systematisch durchprobieren lassen, wenn diese von Diensten wie Bit.ly oder Goo.gl verkürzt worden sind - diese sind ja eben nur wenige Zeichen lang. Wie eine Studie nun zeigt, verbergen sich hinter den so aufgefundenen Links aber oft private Informationen, die eigentlich geschützt werden sollten. Einige Cloud-Instanzen hätten sogar zum Verteilen von Malware ausgenutzt werden können.

Anzeige

Der Informatikprofessor der Cornell University, Vitaly Shmatikov, schreibt dazu, dass die URLs, die hinter den verkürzen Links stecken, quasi öffentlich seien und von jedem mit ein bisschen Geduld sowie einigen Rechnern aufgefunden werden könnten. Das Problem dabei ist aber nicht unbedingt, dass die URLs gefunden werden könnten, sondern dass die Informationen nicht weiter geschützt werden könnten.

Wege auf Google Maps und mögliche Malware in Onedrive

Unter den gefundenen URLs waren etwa 2 Millionen Links auf geplante Routen von Google Maps. Darunter seien Richtungsanweisungen zu Orten wie Kliniken für psychische Erkrankungen, Anbietern von Abtreibungen oder auch "Gentlemen's Clubs". Oft seien die Ausgangspunkte der geplanten Routen Adressen von Einfamilienhäusern, so dass sich Personen und gewählte Ziele durch eine kurze Onlinerecherche schnell miteinander verknüpfen lassen könnten. Nach einem Hinweis auf diese Ergebnisse habe Google seine Shortlinks verlängert und werde gegen das systematische Überprüfen der URLs vorgehen.

Eine Möglichkeit für einen Angriff mit Malware habe sich in der Studie durch die Untersuchung von Links des Microsoft-Dienstes Onedrive ergeben, die von Bit.ly erstellt werden. Aus den so gefundenen Dateien und Ordnern hätten sich die Adressen für die jeweiligen Wurzelverzeichnisse erstellen lassen und somit weitere Dateien finden können. So seien nicht nur über 1 Million Dokumente frei zugänglich gewesen, in 7 Prozent der Accounts hätten die Forscher sogar hineinschreiben können. Es hätte also sehr leicht Malware an Onedrive-Nutzer verteilt werden können.

Laut Shmatikov habe Microsoft's Security Response Center (MSRC) diese Ergebnisse als Designprinzip beschrieben und den Fall nicht weiter behandeln wollen. Zwar gebe es in Onedrive inzwischen keine Option mehr, die Links zu verkürzen und Ordner ließen sich nicht mehr einfach durchsuchen. Diese Änderungen seien aber nicht wegen der Studie vorgenommen worden. Das MSRC habe Shmatikov außerdem erneut bestätigt, dass es sich nicht um eine Sicherheitslücke gehandelt habe.


eye home zur Startseite
Vielfalt 17. Apr 2016

Wie will man bitte gegen das automatisierte probieren von Shortlinks vorgehen? Google...

Der mit dem Blubb 16. Apr 2016

Kam das nicht hauptsächlich wegen Twitter und der Zeichenbegrenzung? Mir begegnen...

Spaghetticode 16. Apr 2016

Habe ich noch nicht erlebt. In der Regel werden mir Rechnungen direkt als E-Mail-Anhang...

cephei 16. Apr 2016

https://goo.gl/PuV4z7



Anzeige

Stellenmarkt
  1. Springer Nature, Berlin
  2. über human lead GmbH, Norddeutschland
  3. e.solutions GmbH, Erlangen
  4. Daimler AG, Sindelfingen


Anzeige
Blu-ray-Angebote
  1. 23,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. Spaceballs, Training Day, Der längste Tag)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  2. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  3. Cryptowars

    "Kein geheimer Ort für Terroristen"

  4. Trello

    Atlassian setzt alles auf eine Karte

  5. Endless Runway

    Der Flughafen wird rund

  6. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  7. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  8. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  9. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  10. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Scheitert an einem Grund

    EWCH | 20:14

  2. Re: Nicht realisierbar

    EWCH | 20:13

  3. Re: Ganz im Sinne der Autoindustrie

    matok | 20:12

  4. angenommen: Fahrwerksschaden ...

    Shrykull | 20:10

  5. Re: Jetzt mal halblang!

    Mett | 20:10


  1. 18:55

  2. 18:18

  3. 18:08

  4. 17:48

  5. 17:23

  6. 17:07

  7. 16:20

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel