Сокращатели URL раскрывают приватные данные в облаках

Исследователи продемонстрировали, что короткие URL могут быть использованы для обнаружения и чтения хранящихся в облаке данных, в том числе файлы, для которых пользователь не создавал короткий URL.

По словам Мартина Георгиева (Martin Georgiev), независимого исследователя, и Виталия Шматикова (Vitaly Shmatikov) из Cornell Tech, пространство 5- и 6-символьных токенов, включенных в короткие URL-адреса настолько мало, что его можно легко подобрать. Таким образом, содержание с ограниченным доступом становится общедоступным, что создает серьезные уязвимости в системе безопасности и конфиденциальности, говорят исследователи.

В своей работе, два исследователя сосредоточены на службе хранения облачных данных OneDrive от Microsoft и объясняют, что 7% всех аккаунтов подвергается риску через короткие URL. Кроме того, так как файлы, сохраненные в облаке, автоматически записываются на локальном жестком диске, уязвимость может быть использована для крупномасштабных вредоносных заражений.

Многие сервисы по сокращению URL создают URL-адреса настолько короткие, что все пространство возможных URL-адресов может быть отсканировано, говорят исследователи. Это означает, что злоумышленники могут автоматически обнаруживать истинные URL-адреса облачных ресурсов пользователей, делая эти ресурсы общественными и доступными для всех.

Получив короткий URL для файла в OneDrive, злоумышленник может раскрыть все другие файлы и папки, принадлежащие пользователю, даже файлы, которые не могут быть доступны непосредственно через короткий URL. В этом документе также объясняется, что OneDrive аккаунты уязвимы для автоматизированных крупномасштабных нарушений конфиденциальности, в основном потому, что важная личная информация иногда автоматически синхронизируется между устройством пользователя и облаком.

OneDrive от Microsoft имеет встроенный сокращатель URL, но это не делает его более уязвимым, чем Google Drive, который такого сервиса не имеет, так как пользователи могут использовать сторонние сокращатели URL при обмене информацией. Так же, как и с OneDrive, кто смог открыть URL к пишущей папке Google Drive, сможет загрузить внутри произвольное содержание, говорят исследователи.

Из-за короткого URL, обмен информацией с интернет-картографическими сервисами, такими, как Google Maps, MapQuest, Bing Maps и Yahoo! Maps предоставляет пользовательские данные тоже. В статье раскрывается, что уязвимость может раскрыть не только места, которыми пользователи поделились друг с другом, но и маршруты между этими местами, которые во многих случаях начинаются или заканчиваются жилыми адресами.

Некоторые из этих маршрутов относятся к личным отношениями или крайне приватны, например, места больниц, клиник и врачей, связанных с конкретными заболеваниями, места содержания под стражей, тем самым подвергают пользователей риску раскрытия еще большего количества личных данных.

Исследователи говорят, что короткие URL-адреса должны быть больше, чтобы предотвратить подобные атаки, что сокращатели URL должны предупреждать пользователей о том, что короткий URL-адрес может разоблачить содержимое третьим лицам, и что облачные сервисы должны использовать внутренние, находящиеся во владении компаний сокращатели. Таким образом, компании могут уменьшить расширение пространства токенов, могут контролировать автоматическое сканирование пространства коротких URL, и могут предпринять соответствующие действия при обнаружении сканирования.

По словам исследователей, капча также может быть введена для повышения уровня безопасности, в то время как API сокращателей URL должно быть изменено таким образом, чтобы один и тот же ключ не служил доступом ко всем файлам и папкам.

Источник: securityweek.com