SME
Sobota, 31. október, 2020 | Meniny má AurelaKrížovkyKrížovky

Nepoužívajte skrátené URL linky. Prichádzate o súkromie

Odkazy z krátkych náhodných znakov sa dajú odhaliť hrubou silou.

Ilustračné foto.Ilustračné foto. (Zdroj: WIKIMEDIA/CC)

ITHACA, BRATISLAVA. Chceli ste sa na Twitteri podeliť o nejaký článok a pridať k nemu aj nejaký komentár. Nezmestili ste sa však do limitu 140 znakov, tak ste si cez Bit.ly skrátili jeho odkaz.

Microsoft a Google mali podobnú funkciu zabudovanú v ich cloudových službách. Život však neuľahčovala iba používateľom, ale aj hackerom.

Jednoduchou metódou hrubej sily sa mohli dostať k citlivým dátam.

Milióny dokumentov

Skracovače url odkazov nahrádzajú dlhé linky kratšou sériou náhodných znakov za názvom domény. Dvojica vedcov z Cornellovej univerzity skúmala tieto skrátené linky z cloudového úložiska Microsoftu OneDrive a z mapovej služby Googlu.

Skryť Vypnúť reklamu

Pri Microsofte prezreli analytici 100 miliónov náhodne vytvorených krátkych url so šiestimi znakmi za názvom domény.

Až 42 percent z nich boli skutočné odkazy, z ktorých takmer 20-tisíc viedlo k funknčým OneDrive dokumentom. Pri rovnakom objeme linkov so siedmimi znakmi namerali úspešnosť 29 percent.

Dohromady takto odhalili viac ako milión dokumentov. Približne sedem percent z nich boli voľne dostupné a ktokoľvek by ich objavil, mohol ich prepisovať alebo do nich vložiť škodlivé kódy.

Citlivé a súkromné

Krátke linky z Google máp dokonca ešte nedávno používali iba päť znakov. Skeny 23 miliónov náhodných url adries odhalili až desať percent skutočných trás, ktoré si niekto vyžiadal.

Väčšinou býva ich koncovým bodom domáca adresa, no trasy tiež ukazujú, že niektorí ľudia vyhľadávali, ako sa dostať na potratovú kliniku alebo do protidrogového centra - všetko citlivé súkromné informácie.

Skryť Vypnúť reklamu

Vedci však žiadne z takýto informácií nezverejnili, ani nestiahli dokumenty z cloudu.

"Neurobili sme podrobný sken všetkých krátkych url, no bolo ich dosť na získanie zaujímavých výsledkov," hodnotí na svojom blogu výskum jeden z autorov Vitaly Shmatikov.

Dodáva však, že k podobným informáciám by sa mohol dostať ktokoľvek s dostatočne výkonným počítačom a zákerným úmyslom.

Najdlhšie náhodné

Shmatikov s kolegom podľa magazínu Wired informovali obe spoločnosti o svojich výsledkoch už minulý rok. 

Google reagoval zvýšeným počtom znakov na 11 až 12 a posilnil schopnosti odhaliť a blokovať automatické skenovanie krátkych url. Microsoft najskôr nereagoval vôbec, minulý mesiac však zo služby OneDrive funkciu skracovania linkov odstránil. Napriek tomu však množstvo starších linkov, ktoré výskum odhalil, stále funguje.

Skryť Vypnúť reklamu

Používatelia sa môžu v budúcnosti chrániť dvoma spôsobmi: používať čo najdlhšie náhodné url, a vôbec nezdieľať citlivé informácie prostredníctvom skrátených linkov.

Celú štúdiu si môžete prečítať na tomto linku.

Skryť Vypnúť reklamu

Najčítanejšie na SME Tech

Skryť Vypnúť reklamu
Skryť Vypnúť reklamu

Téma: Google

Prečítajte si aj ďalšie články k téme
Článok je zaradený aj do ďalších tém
Microsoft
Skryť Vypnúť reklamu
Skryť Vypnúť reklamu

Hlavné správy zo Sme.sk

Naď očakáva, že počas víkendu otestujú aspoň tri milióny ľudí

Najväčšie problémy spôsobovali drive through odberové miesta.

celoplošné testovanie na Covid-19.
Premiér Matovič hovorí o prvých výsledkoch testovania.

Vo svete píšu o nepresných testoch aj o výzve prezidentky

Únia sa môže Slovenskom inšpirovať, ak sa projekt podarí.

Testovanie v obci Štiavnické Bane.
Sean Connery v bondovke Žiješ len dvakrát.

Neprehliadnite tiež

Podcast Klik

Klik: Apple pravdepodobne pracuje na vlastnom vyhľadávači

Komentovaný prehľad technologických správ.

Podcast Klik
Podcast Tech_FM

Čierne diery sú aj také, aké by nemali byť

Čo nás učí gravitačná astronómia.

Inzercia - Tlačové správy

  1. Poznáte najbohatšie firmy sveta? Podiel v nich majú aj Slováci
  2. Dokážu benzínové fukáre odolať výzve akumulátorových?
  3. Pôžička bez úrokov a poplatkov? Áno, existuje
  4. Pracujete? Vaše odvody zachraňujú podvýživené zdravotníctvo
  5. 1,6 milióna stavených na Trumpa! Kto bude mať pravdu?
  6. Koronakríza: Pomoc našej banky počas pandémie ocenili vo svete
  7. Magazín SME Ženy už v predaji
  8. Nové Porsche Panamera spája nespojiteľné
  9. UNIQA preberá dôchodkové fondy AXA, pre klientov sa nič nemení
  10. Pandémia urýchlila štart online duálneho vzdelávania
  1. Nechajte zamestnancov vybrať si služobné auto, oplatí sa vám to
  2. Moringa a Ginkgo - pomocníci z prírody
  3. Pracujete? Vaše odvody zachraňujú podvýživené zdravotníctvo
  4. 1,6 milióna stavených na Trumpa! Kto bude mať pravdu?
  5. O prenájom auta majú čoraz väčší záujem aj malé firmy. Ušetria
  6. Koronakríza: Pomoc našej banky počas pandémie ocenili vo svete
  7. Magazín SME Ženy už v predaji
  8. SPS ukončí rok miliónovými investíciami
  9. Dokážu benzínové fukáre odolať výzve akumulátorových?
  10. Trh s elektromobilmi stagnuje. Kríza by mu mohla pomôcť
  1. Novodobý slovenský Baťa. Zamestnancom stavia domy 38 556
  2. Aplikáciu tohto Slováka používajú v 150 krajinách. Ako začínal? 26 599
  3. Pohoda v domácnosti sa odvíja od jednej veci. Neuveríte, od akej 19 469
  4. Príjem vs. dôchodok. Realita, na ktorú sa treba pripraviť 16 847
  5. Tradičná plodina zo Slovenska mizne. Čo sa deje so zemiakmi? 15 328
  6. Pracujete v IT? Táto slovenská firma neustále prijíma ľudí 14 383
  7. ARÓNIA a RAKYTNÍK - podporí tvoju imunitu v boji s vírusmi 12 559
  8. O levočský „nanozázrak“ sa zaujíma európsky trh 11 718
  9. Toto sú povolania budúcnosti. Niektoré prekvapili 11 106
  10. LEN DNES: Zľava viac ako 50% na ročné predplatné týždenníkov MY 10 600