Skraćeni URL olakšava špijuniranje ljudi
- Objavljeno u Novosti
Sigurnosni stručnjaci Martin Georgiev i Vitalij Shmatikov, objavili su rezultate studije kojima opisuju svoje otkriće o podložnosti kratkih URL-ova "brute-force" napadima, čime dovoljno motivirani haker može doći do osobnih podataka.
Istraživači su ovo otkrili nakon što su pregledavali web adrese koje koriste poznate tvrtke poput Googlea i Microsofta. Standardni URL Google Mapsa se sastoji od 150 znakova, no zbog lakšeg korištenja se nudi i kraća alternativa od 6 znakova. Kombinacija od 6 znakova je dovoljno mala da se jednostavno razbije korištenjem "pokušaja i pogrešaka", čime se datoteke iz pohrane u oblaku izlažu na "izvol'te".
Dvojica stručnjaka su uspjela pronaći Google Drive i Microsoft OneDrive datoteke koje su dijeljene s kratkim URL-ovima. Neke od tih datoteka su povezane s folderima koji imaju "pristup s dopuštenjima za zapisivanje", omogućujući svakome da vam u "ladicu" za pohranu ubaci maliciozni kod. Obzirom da se sve što pohranjujete automatski kopira na vaš desktop, istraživači tvrde kako postoji vrlo realna opasnost od "malware injecrtiona" na velikoj skali. Također kažu, da je 7 posto OneDrive i Google Drive računa koje su skenirali bilo ranjivo na taj način.
Kao primjer se navodi i podatak da Googleove mape često sadrže smjerove između dvije privatne adrese, pa je vrlo jednostavno otkriti povezanost iz tih podataka koji bi trebali biti privatni. Pored toga, jednostavno se može otkriti koje je mape netko posjećivao, poput medicinskih ustanova. Istraživači navode da su također uspjeli otkriti i imena ljudi koji su posjećivali maloljetničke pritvore i zalagaonice, što su također podaci koji bi trebali ostati tajni.
Izvor: Arxiv.org [PDF]