大家都會同意:連結減速器非常實用。它們允許您共享易於閱讀和記住的鏈接,該鏈接佔用的空間很小,並且不會在電子郵件中被分成兩半。但請注意:如果您使用縮短的連結來共享對儲存在雲端中的資料夾或文件的存取權限,您可能會面臨這些資料落入壞人之手的風險,甚至您的電腦上可能會感染惡意軟體。為了什麼 ?因為縮短的連結太簡單了。
事實上,大多數連結縮減程式(例如 Bit.ly)將複雜的地址轉換為 5 或 6 個字元的“令牌”,這並不多。因此,駭客可以嘗試所有可能的組合來找到可讀取甚至可寫入的文件。如果它偵測到整個可寫入資料夾,它可能會插入被惡意軟體捕獲的文檔,如果使用者啟動了同步功能,這些文檔可能會自動出現在使用者的電腦上。
安全研究人員 Martin Georgiev 和 Vitaly Shmatikov 以自動化方式探索了這種攻擊向量,並在他們的研究中展示了這一點。關係他相對富裕。他們隨機產生了 2 億個 5 或 6 個字元的 Bit.ly 代幣。其中,約 7,000 萬個對應真實地址,其中約 66,000 個先驗指向 Microsoft OneDrive 或 Microsoft SkyDrive 上的檔案或資料夾。
在這些地址中,有 47,365 個實際上處於活躍狀態並提供對文件的存取。每個對應一個不同的使用者帳戶。在偵測到的 OneDrive 帳戶(24,199 個)中,研究人員發現 1,711 個帳戶至少有一個可自由存取的目錄,佔 7% 左右。
但研究人員是如何辨識這些目錄的呢? Microsoft 建立的 URL 格式非常可預測,並且可以從任何文件連結找到根目錄位址。然後您所要做的就是掃描那裡出現的連結來識別文件。截至今天,這種方法已不再可行,因為 Microsoft 已更改其 URL 格式。
谷歌,代表更少
研究人員還發現了指向Google Drive 資料夾的活動鏈接,但只有33 個。功能中。因此,Google Drive 在 Bit.ly 面板中的代表性遠低於 OneDrive。截至今天,Bit.ly 不再整合到這些服務中。
最後,研究人員也掃描了 Google 地圖 (goog.le/maps) 中內建的 URL 縮短服務。在產生的 6,300 萬個代幣中,有 2,300 萬個對應於真實卡。此外,他們在 Bit.ly 地址面板中發現了近 200,000 個地圖連結。在這種情況下,風險是個人資料外洩。兩位研究人員表示,這些卡片可以使用交叉檢查技術來重建使用者的活動,甚至是他們的身份。此後,谷歌修改了其減速器。它的令牌現在使用雙倍數量的字符,使得隨機掃描幾乎不可能。
我們該從這一切中得到什麼?如果您共用對儲存在雲端中的敏感文件的存取權限,最好按名稱而不是透過連結授予存取權限。如果您確實使用鏈接,請絕對避免使用 URL 縮短器。
來源:
