Сервис сокращения URL, безусловно, удобство, однако он давно не дает покоя специалистам, занимающимся обеспечением интернет-безопасности, так как на практике трудно определить, куда ведет та или иная короткая ссылка. Новое исследование еще раз напомнило о рисках, связанных с использованием служб сокращения ссылок, в особенности в тех случаях, когда речь идет о хранении данных или обмене ими в облаке.

Результаты исследования представлены в аналитической статье «Gone in Six Seconds: Short URLs Considered Harmful for Cloud Services» («Слив за шесть секунд: короткие ссылки вредны для облачных сервисов»), опубликованной на прошлой неделе. Ее авторы  независимый исследователь Мартин Георгиев (Martin Georgiev) и преподаватель Корнелльского университета Виталий Шматиков обращают внимание читателей на слабости служб сокращения ссылок, в частности bit.ly и goo.gl, с помощью которых можно отыскать приватные документы на Microsoft OneDrive или получить информацию о местонахождении пользователя через Google Maps.

При генерации коротких ссылок длинный URL сокращается до доменного имени и токена размером 5–6 символов  к примеру, 1drv.ms.xxxxxx. «Эти токены столь коротки, что всю выборку URL можно просканировать брутфорсом,  поясняет Шматиков в блоге Freedom to Tinker Исходный длинный URL, таким образом, можно эффективно раскрыть, было бы немного терпения и пара подручных машин».

Исследование заняло полтора года и ограничилось OneDrive и Google Maps  двумя веб-сервисами, использующими сокращенные ссылки. В своей блог-записи Шматиков отметил, что при наличии адекватных ресурсов можно просканировать все пространство коротких URL.

«Пользователи, генерирующие короткие ссылки для своих онлайн-документов и карт, полагают, что в этом случае URL надежны, так как выглядят как произвольные и недоступны широким массам,  пишут авторы исследования.  Наш анализ и эксперименты показали, что оба этих условия не составляют преграды противнику, задумавшему автоматизировать выявление истинных URL совместно используемых облачных ресурсов. Все ресурсы, расшаренные с помощью короткой ссылки, на самом деле становятся публичными и доступны любому пользователю в глобальной сети».

Веб-сервис OneDrive использует для сокращения ссылок bit.ly. Воспользовавшись соответствующими API, исследователи просканировали свыше 100 млн bit.ly-ссылок, содержащих произвольные шестизначные токены, и обнаружили, что 42% этих ссылок преобразуются в реальный URL. Таким образом, на OneDrive можно отыскать около 20 тыс. файлов и папок.

Проблему в данном случае усугубляет предсказуемость структуры URL. «На основании ссылки на один из совместно используемых документов («зерно») можно создать корневой URL и просмотреть аккаунт автоматизированными средствами для выявления всех файлов и папок, расшаренных таким же образом, как и документ-зерно, или даже иначе»,  комментирует Шматиков.

Сканирование в рамках исследования обнаружило на OneDrive тысячи уязвимых папок с правом на запись. «Поскольку хранимые в облаке файлы автоматически копируются на ПК и другие устройства пользователя, это готовый вектор для масштабных автоматизированных вредоносных инъекций»,  заключают исследователи.

В случае с Google Maps им удалось обнаружить около 24 млн активных ссылок; 10% из них были привязаны к картам с указанием автомобильных маршрутов. Если, к примеру, известен пункт назначения, в публичном доступе может оказаться большое количество личной, закрытой информации. «Для многих индивидуальных пользователей это грозит раскрытием места жительства, истинного лица и визитов, тщательно скрываемых от широких масс по медицинским показаниям или финансовым соображениям»,  предупреждают Георгиев и Шматиков.

О своих находках исследователи доложили в Microsoft и Google. Последняя увеличила размер токена в ссылках goo.gl до 11–12 знаков и приняла меры для ограничения сканирования существующих URL. Компания Microsoft два месяца переписывалась с авторами исследовательской работы, а в конце августа сообщила им, что не видит оснований для внутреннего расследования.

В марте OneDrive уже не предлагал опцию коротких ссылок. «После того как мы вновь обратились в Microsoft, вендор заявил, что эти изменения никак не связаны с нашим отчетом, и еще раз подтвердил, что не считает обнаруженные проблемы уязвимостью,  сетует Шматиков.  По состоянию на момент публикации этой записи все ранее сгенерированные ссылки OneDrive остаются уязвимыми к сканированию и внедрению вредоносного кода».

Категории: Аналитика, Уязвимости