امکان نشت اطلاعات شخصی کاربران از طریق سرویس‌های کوتاه کننده لینک

اگر فکر می‌کنید کار کردن با لینک‌های طولانی دشوار است و برای کوتاه کردن لینک‌های خود به دنبال ارسال آن‌ها در وب‌سایت‌هایی از قبیل bit.ly هستید، به شدت مراقب باشید. به گزارش کلیک، تحقیقاتی که به تازگی بر روی اکثر کوتاه کننده‌های رایج لینک از قبیل bit.ly و goo.gl انجام شده است، نشان می‌دهند که چگونه یک مهاجم می‌تواند از طریق درایو ابری مرتبط با لینک اصلاح شده به اطلاعات شخصی شما دسترسی پیدا کند.

وب‌سایت‌های کوتاه کننده لینک از قبیل Bit.ly، goo.gl و حتی وب‌سایت ۱drv.ms متعلق به شرکت مایکروسافت، آدرس‌های وب طولانی را به انواع کوتاه‌تر آن‌ها تبدیل می‌کنند که این آدرس‌ها شامل یک دامنه و ۵ الی ۷ نشانه کاراکتری هستند. همین ویژگی ساده منجر به یک نتیجه ناخواسته شده است. مطابق یافته‌های پژوهشی جدید، تمامی آدرس‌های وب کوتاه شده را می‌توان به کمک حمله جستجوی فراگیر یا Brute Force (رمزگشایی به روش آزمون و خطا) اسکن کرد چرا که تعداد نشانه‌های کاراکتری به کار رفته در آدرس‌های کوتاه شده بسیار اندک هستند، در نتیجه آدرس‌های وب طولانی نهایتا فراگیر و برای مهاجمان قابل کشف خواهند شد.

این مطالعه توسط ویتالی اشماتیکف و مارتین گیورگیف در طول مدتی بیش از ۱۸ ماه و با تمرکز بر دو سرویس خاص یعنی سامانه ذخیره‌سازی داده‌های ابری مایکروسافت موسوم به وان درایو (که پیش از این اسکای درایو نام داشت) و گوگل مپس انجام شده است. در این برنامه‌ها، زمانی که یک کاربر می‌خواهد لینک مرتبط با یک سند، پوشه یا نقشه را برای دیگر کاربران به اشتراک بگذارد، سامانه به طور خودکار یک لینک کوتاه شده را پیشنهاد می‌کند. این پژوهش نشان می‌دهد که چگونه ویژگی یاد شده به طور کاملا ناخواسته با فراگیر کردن لینک‌های اصلی، امکان دسترسی دیگران را به اطلاعات حساس درون درایوهای ابری محافظت شده با رمز عبور فراهم می‌کند.

هکرها می‌گویند با اسکن نمونه‌ای از حدود ۱۰۰ میلیون لینک کوتاه شده از وب‌سایت bit.ly و با انتخاب تصادفی ۶ کاراکتر توانستند آدرس وب واقعی ۴۲ درصد از آن‌ها را پیدا کنند. از این میان، تعداد حیرت‌آور ۱۹۵۲۴ لینک منجر به دسترسی مستقیم به فایل‌ها و پوشه‌های سامانه ابری وان درایو شده است.

سرویس گوگل مپس نیز لینک‌ها را بسیار ساده‌تر کوتاه می‌کرد و قبل از سپتامبر ۲۰۱۵ تنها از ۵ کاراکتر برای کوتاه کردن آدرس‌های وب بهره می‌برد. محققان از این رو بیش از ۲۳ میلیون آدرس وب را در نمونه‌های خود کشف کردند که تنها ۱۰ درصد از آن‌ها برای ذخیره‌سازی مسیرها از یک مکان به مکان دیگر و مابقی شامل آدرس‌های مکان‌ها بودند. این تا حد زیادی با حساب‌های کاربری خاصی از گوگل مرتبط بود که خود منجر به ایجاد حفره‌های بالقوه امنیتی می‌شد.

تغییر اندازه نشانه‌ها

مطابق اظهارات اشماتیکف و گیورگیف، آن‌ها به گوگل و مایکروسافت در مورد روزنه‌ای که منجر به این معضل نقض حریم امنیتی می‌شود، هشدار داده‌اند. گوگل بلافاصله با پاسخ فوری به این هشدار، اندازه نشانه‌های خود را برای لینک‌های کوتاه شده به ۱۱ تا ۱۲ کاراکتر افزایش داد، اما مرکز پاسخگویی امنیتی مایکروسافت اندازه کاراکترهای لینک‌های کوتاه شده را مقصر نمی‌داند و می‌گوید احتمالا مسئله پیش آمده ناشی از یک خطای طراحی نرم افزاری بوده است.

با این حال از ماه مارس سال جاری، گزینه کوتاه کردن لینک از رابط کاربری سامانه وان درایو حذف شده و محققان می‌گویند مایکروسافت ارتباط این تغییرات با گزارش منتشر شده توسط آن‌ها را تکذیب کرده است. با این وجود تمامی لینک‌های کوتاه شده وان درایو که پیش از این تولید شده‌اند هنوز هم در معرض اسکن و تزریق بدافزارها باقی می‌مانند.

سرویس‌های کوتاه کننده لینک دیگری نیز وجود دارند که دارای نقاط ضعف مشابهی هستند. اشماتیکف و گیورگیف می‌گویند باید برای لینک‌های کوتاه شده از نشانه‌های کاراکتری بیشتری بهره جست تا از ایراد آسیب به سامانه‌های ابری ممانعت به عمل آورد.

این دو پژوهشگر پیشنهاد‌هایی نیز برای سرویس‌های ابری به منظور حفاظت بیشتر از سیستم‌های خود ارائه کرده‌اند که عبارتند از:

• از نشانه‌ها و کاراکترهای متعلق به خود استفاده کنید و نه bit.ly
• اسکن‌ها را شناسایی و محدود نمایید و برای جداسازی کاربران انسانی از اسکنرهای خودکار از تکنیک‌هایی مانند CAPTCHA بهره بگیرید
• رابط‌های کاربری بهتری طراحی کنید به طوری که افشای یک آدرس وب مجزا منجر به فراهم شدن امکان دسترسی به حساب کاربری افراد در سرویس‌های ابری نشود

منبع: ibtimes