Page d'accueil Sécurité Les liens raccourcis compromettent-ils votre sécurité?

Les liens raccourcis compromettent-ils votre sécurité?

  • William Charles
  • 0
  • 3112
  • 458
Publicité

Raccourcis d'URL Essayez 10 raccourcisseurs d'URL différents qui vous apportent des avantages supplémentaires Essayez-vous 10 Réducteurs d'URL différents qui vous donnent des avantages de compléments A quel point pouvez-vous raccourcir un localisateur de ressources uniforme? Eh bien, le système de raccourcissement est quasiment un travail banal, mais l’astuce semble être dans les suppléments fournis avec le service de raccourcissement… comme bit.ly, goo.gl, tinyurl et ow.ly le sont idéal pour faciliter le partage de liens; vous n'avez pas besoin de coller une URL très longue et laide dans une fenêtre de discussion ou dans un courrier électronique pour aider une personne à se retrouver sur la page à laquelle vous souhaitez accéder. Mais une étude récente a montré que cette commodité pouvait entraîner des coûts importants pour votre sécurité..

L'étude

Pendant 18 mois, deux chercheurs de Cornell Tech ont examiné les URL réduites créées par deux services différents: Microsoft OneDrive et Google Maps. Les deux services créent des liens raccourcis pour le partage de pages Web (OneDrive les utilise pour partager l'accès aux documents et Google Maps pour partager des itinéraires ou des lieux)..

En raison du petit nombre de caractères utilisés dans ces liens raccourcis, les chercheurs ont été en mesure d'utiliser une attaque par force brute pour trouver des URL raccourcies se rapportant à des documents réels. Les chercheurs ont analysé 100 000 000 URL bit.ly avec des jetons de six caractères choisis au hasard (tels que “1maQ2JZ”) 42% de tous les jetons ont été résolus en adresses URL complètes, et près de 19 500 d'entre elles ont abouti à des documents OneDrive..

Les chercheurs ont également découvert près de 24 000 000 de liens en direct lors de la numérisation des jetons à cinq caractères précédemment utilisés par goo.gl/maps, dont 10% environ pour les itinéraires routiers..

Obtenir l'accès aux documents OneDrive et aux instructions de Google Maps est déjà une mauvaise chose, mais les chercheurs ont découvert qu'ils pourraient en faire encore plus avec les informations récupérées à partir de ces liens. Par exemple, en analysant la structure standard des URL OneDrive, ils ont été en mesure de naviguer et d'accéder à plusieurs comptes OneDrive, dont beaucoup ont été trouvés en écriture, ce qui signifie qu'ils pouvaient modifier des fichiers ou télécharger des logiciels malveillants qui seraient automatiquement téléchargés sur. l'ordinateur du propriétaire.

Et avec Google Maps, les chercheurs ont découvert beaucoup d'informations que les gens voudraient probablement garder confidentielles. En examinant les adresses résidentielles, ils pourraient deviner avec certitude quels ménages incluaient une personne qui se rendait dans des cliniques spécialisées pour un traitement médical, des centres de traitement de la toxicomanie, des clubs de strip-tease et des prestataires d'avortements. Qu'est-ce que les agences de sécurité gouvernementales peuvent distinguer des métadonnées de votre téléphone? Que peuvent dire les agences de sécurité gouvernementales à partir des métadonnées de votre téléphone? pour obtenir des informations d'identification d'individus, et que ces informations combinées à une sorte d'historique de voyage abrégé pourraient s'avérer très utiles pour les voleurs d'identité.

Si vous souhaitez consulter l'intégralité de l'article publié, vous pouvez le consulter sur arXiv. L'un des chercheurs a également publié un article de blog avec un résumé utile..

Modifications effectuées

Les chercheurs de Cornell Tech ont partagé leurs résultats avec Microsoft et Google, et les deux sociétés ont pris des mesures pour réduire le risque de compromission de leurs utilisateurs par des URL raccourcies..

Le raccourcissement d'URL a été supprimé de l'interface OneDrive et la méthode utilisée pour obtenir plus d'informations sur le compte de l'utilisateur ne fonctionne plus (malgré le démenti de Microsoft selon lequel les modifications apportées avaient un rapport avec ce rapport ou que l'étude révélait même une vulnérabilité de sécurité). Les anciens liens raccourcis restent toutefois vulnérables.

Google Maps utilise désormais des jetons de 11 et 12 caractères au lieu des cinq déjà proposés, ce qui rend beaucoup plus difficile leur révélation au moyen d'une attaque par force brute. Google a également rendu plus difficile la numérisation simultanée d'un grand nombre d'URL..

Reste prudent

Même si ces deux services ont pris des mesures pour atténuer la menace, la possibilité de vulnérabilités supplémentaires dans le processus de raccourcissement des liens sera probablement trouvée dans le futur (ordinateurs de plus en plus puissants. Ordinateurs Quantum: La fin de la cryptographie? Ordinateurs Quantum: Le Fin de la cryptographie - L’informatique quantique est une idée qui existe depuis un moment - la possibilité théorique a été introduite en 1982. Au cours des dernières années, le domaine s’est rapproché de la pratique. Lorsque j'ai récemment vérifié si les services de raccourcis populaires utilisaient un petit nombre de caractères dans leurs jetons, ow.ly et tinyurl avaient des jetons de six caractères et un peu plus de sept..

Bien que les deux soient meilleurs que les cinq précédents, il est toujours inquiétant que des personnes puissent avoir accès de cette manière à des fichiers importants ou à des informations personnelles. Les chercheurs de Cornell Tech ont démontré qu’un simple balayage en force brute de ces URL pouvait révéler une quantité surprenante d’informations sur des utilisateurs spécifiques, y compris quelques-unes des informations les plus importantes pour le vol d’identité. 10 éléments d’information utilisés pour voler votre identité 10 éléments d'information utilisés pour voler votre identité Selon le Bureau de la justice des États-Unis, le vol d'identité a coûté plus de 24 milliards de dollars aux victimes en 2012, plus que le cambriolage d'un domicile, le vol de véhicules et le vol de propriété. Ces 10 informations sont ce que les voleurs recherchent… .

Alors, que devrais-tu faire? Pour être totalement sûr, n'utilisez pas de raccourcisseur d'URL pour tout ce qui pourrait être précieux pour un pirate informatique, un voleur d'identité ou un autre scélérat. Les raccourcis sont vraiment utiles, mais la plupart du temps, une longue URL fonctionnera parfaitement. Il est grand, moche et prend beaucoup de place dans une fenêtre de messagerie ou de chat, mais il est également beaucoup plus sûr.

Sachez également que de nombreux autres services proposent un raccourcissement des URL et que vous souhaiterez peut-être aussi faire attention à ceux-ci. La façon dont chacun de ces services traite les autorisations avec des URL raccourcies est susceptible de différer, mais si vous avez accidentellement cédé l'accès à un site Flickr, Google Photos, Google Drive, Twitter, Facebook ou autre, il est difficile de savoir ce qui se passera..

Si vous avez le choix de raccourcir une URL avec un jeton de plus de six ou sept caractères, vous devriez le prendre. Les chercheurs ont indiqué dans leur article que les jetons de 11 et 12 caractères utilisés par Google Maps ne sont pas forcés (du moins avec la technologie actuelle et un effort raisonnable), il est donc probablement judicieux de viser au moins 10.

Ou tout simplement créer votre propre raccourcisseur d'URL Les avantages de la configuration de votre propre raccourcisseur d'URL et comment le faire Les avantages de la configuration de votre propre raccourcisseur d'URL et la procédure à suivre Dans un monde de 140 caractères et une capacité d'attention courte, vous devez Obtenez le plus de texte possible dans votre statut Twitter si vous voulez bien faire passer votre message. et assurez-vous qu'il utilise suffisamment de caractères dans ses jetons d'URL!

Utilisez-vous des raccourcis d'URL?

Le raccourcissement des services semble gagner en popularité, de nouveaux services apparaissent régulièrement. La limite de 140 caractères de Twitter et la difficulté de travailler avec de longues chaînes de texte sur des appareils mobiles URL Shortener est le couteau suisse du partage de liens et de la sauvegarde sur Android URL Shortener est le couteau suisse du partage de liaisons et de la sauvegarde sur Android Ce qui distingue URL Shortener est à quel point il est facile pour vous de sauvegarder des liens, de les copier dans un presse-papiers ou de les partager directement à partir d’un menu. ont probablement contribué à leur utilité, et la possibilité d’envoyer un lien dans un format beaucoup plus convivial est certainement attrayante. On ne peut nier qu'ils sont très pratiques, mais la commodité ne vaut peut-être pas le risque.

Utilisez-vous un service de réduction d’URL? Lequel utilisez-vous? L'utilisez-vous pour des documents sensibles ou simplement pour des liens accessibles au public? Etes-vous maintenant inquiet pour la sécurité de vos liens? Partagez vos pensées ci-dessous!

Crédits image: Georgiev et Shmatikov via arXiv.




Personne n'a encore commenté ce post.

20 façons qu'un assistant virtuel humain peut vous faire gagner du temps
Productivité
Comment remplacer des fiches avec Excel ou Google Sheets
Productivité
Le mini guide Adobe Acrobat Pro DC pour la gestion des fichiers PDF
Productivité
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.