Original-URL des Artikels: https://www.golem.de/news/brute-force-wenn-kurz-urls-zur-sicherheitsluecke-werden-1604-120355.html    Veröffentlicht: 15.04.2016 15:12    Kurz-URL: https://glm.io/120355

Brute-Force

Wenn Kurz-URLs zur Sicherheitslücke werden

Verkürzte URLs lassen sich systematisch untersuchen und offenbaren dann private Daten. So lassen sich Bewegungsprofile erstellen, Informationen sammeln und sogar Malware könnte leicht über Cloud-Dienste verteilt werden, zeigt nun eine Studie.

Eigentlich ist es nicht überraschend, dass sich URLs systematisch durchprobieren lassen, wenn diese von Diensten wie Bit.ly oder Goo.gl verkürzt worden sind - diese sind ja eben nur wenige Zeichen lang. Wie eine Studie nun zeigt, verbergen sich hinter den so aufgefundenen Links aber oft private Informationen, die eigentlich geschützt werden sollten. Einige Cloud-Instanzen hätten sogar zum Verteilen von Malware ausgenutzt werden können.

Der Informatikprofessor der Cornell University, Vitaly Shmatikov, schreibt dazu, dass die URLs, die hinter den verkürzen Links stecken, quasi öffentlich seien und von jedem mit ein bisschen Geduld sowie einigen Rechnern aufgefunden werden könnten. Das Problem dabei ist aber nicht unbedingt, dass die URLs gefunden werden könnten, sondern dass die Informationen nicht weiter geschützt werden könnten.

Wege auf Google Maps und mögliche Malware in Onedrive

Unter den gefundenen URLs waren etwa 2 Millionen Links auf geplante Routen von Google Maps. Darunter seien Richtungsanweisungen zu Orten wie Kliniken für psychische Erkrankungen, Anbietern von Abtreibungen oder auch "Gentlemen's Clubs". Oft seien die Ausgangspunkte der geplanten Routen Adressen von Einfamilienhäusern, so dass sich Personen und gewählte Ziele durch eine kurze Onlinerecherche schnell miteinander verknüpfen lassen könnten. Nach einem Hinweis auf diese Ergebnisse habe Google seine Shortlinks verlängert und werde gegen das systematische Überprüfen der URLs vorgehen.

Eine Möglichkeit für einen Angriff mit Malware habe sich in der Studie durch die Untersuchung von Links des Microsoft-Dienstes Onedrive ergeben, die von Bit.ly erstellt werden. Aus den so gefundenen Dateien und Ordnern hätten sich die Adressen für die jeweiligen Wurzelverzeichnisse erstellen lassen und somit weitere Dateien finden können. So seien nicht nur über 1 Million Dokumente frei zugänglich gewesen, in 7 Prozent der Accounts hätten die Forscher sogar hineinschreiben können. Es hätte also sehr leicht Malware an Onedrive-Nutzer verteilt werden können.

Laut Shmatikov habe Microsoft's Security Response Center (MSRC) diese Ergebnisse als Designprinzip beschrieben und den Fall nicht weiter behandeln wollen. Zwar gebe es in Onedrive inzwischen keine Option mehr, die Links zu verkürzen und Ordner ließen sich nicht mehr einfach durchsuchen. Diese Änderungen seien aber nicht wegen der Studie vorgenommen worden. Das MSRC habe Shmatikov außerdem erneut bestätigt, dass es sich nicht um eine Sicherheitslücke gehandelt habe.  (sg)


Verwandte Artikel:
Linux: Kernel-Bug erlaubt Sandbox-Ausbrüche   
(06.06.2014, https://glm.io/107021 )
Bionic Beaver: Canonical will Telemetrie in Ubuntu sammeln   
(15.02.2018, https://glm.io/132805 )
Windows 10: Microsoft verteilt Fall Creators Update   
(17.10.2017, https://glm.io/130667 )
Kartendienst: Google Maps zeigt passende Informationen deutlicher an   
(16.11.2017, https://glm.io/131181 )
Loki: App zeigt Inhalte je nach Stimmung des Nutzers an   
(18.01.2018, https://glm.io/132234 )

© 1997–2019 Golem.de, https://www.golem.de/