Que los acortadores de URLs pueden ser peligrosos es algo que a estas alturas todos sabemos, ya que nunca podemos estar seguros de a dónde apunta una de sus direcciones. Pero ese podría no ser el único peligro, ya que si los utilizamos para intercambiar información privada también podríamos estar poniéndola en peligro.
Esta es la conclusión a la que llega un estudio publicado por dos investigadores de seguridad. Aseguran que para acceder a ella, lo único que tendría que hacer un atacante es aprovecharse de lo predecibles que son las direcciones de estos servicios y dedicarse a investigar cada una de las combinaciones posibles en el espacio de la URL.
Este informe es el fruto de 18 meses de trabajo realizado por el investigador Vitaly Shmatikov de la firma Cornell Tech y el independiente Martin Georgiev. En él ponen la lupa sobre OneDrive y Google Maps, ya que utilizan servicios de acortamiento de URLs, por lo que sin quererlo podrían estar poniendo en peligro la privacidad de sus usuarios.
Esto es lo que dice el estudio
Durante la investigación se hizo un escaneo de 100 millones de direcciones en bit.ly generando combinaciones aleatorias de seis caracteres. El 42% les llevaron a URLs reales, de las cuales 19.524 pertenecían a archivos de OneDrive, la mayoría de ellos online. Probaron también combinaciones de siete caracteres con un éxito del 29%, y han asegurado que centrándose en cierto tipo de combinaciones podían aumentar notablemente este porcentaje.
Analizando las direcciones que habían obtenido, los investigadores consiguieron acceder a un total de 1,3 millones de archivos subidos a la nube de OneDrive. Esto les llevó a la conclusión de que aproximadamente el 7% de las URLs de OneDrive estaban vinculadas a archivos abiertos con permiso de escritura. También obtuvieron acceso a cientos de archivos de Google Drive igualmente desprotegidos.
Escanear el acortador de Google fue mucho más fácil, ya que para Maps sólo se utilizaban 5 caracteres. Consiguieron encontrar 23 millones de direcciones de Google Maps, de las cuales un 10% correspondían a direcciones para ir de un sitio a otro y recordatorios de localizaciones. Estas estaban asociadas a cuentas específicas de usuarios, creando un serio problema de privacidad.
El estudio concluye que un atacante podría utilizar un botnet para escanear todos los caracteres posibles en los espacios de los acortadores de URLs. De esta accederían a miles de cuentas de OneDrive y Google Drive, pudiendo subir malware que se sincronizara automáticamente con los dispositivos móviles de sus propietarios.
Vitaly Shmatikov escribe en su blog las reacciones de ambas empresas cuando les presentaron el informe. Por una parte Google pasó de utilizar 5 caracteres a 11 y 12 en su acortador de direcciones para Maps, mientras que Microsoft dejó de ofrecer bit.ly directamente en OneDrive, haciendo también cambios en su estructira de URLs para tratar de evitar estas vulnerabilidades.
Vía | Vitaly Shmatikov
En Genbeta | Cómo crear tu propio acortador de URLs
Ver 6 comentarios
6 comentarios
espiralvex
Vamos a ver, se entiende por el artículo que eran direcciones públicas así que... Donde está el problema?
espiralvex
Comprendo tu comentario pero me refiero a que si quieres que sea privado no depende de un acortador de direcciones, sino de usar un sistema de acceso o similares, lo demás, si es publico, es hasta indexable por buscadores o webcrawlers.
miguelabellan nosoye
Para el que no haya entendido el problema os pongo el siguiente ejemplo: Supongamos que tengo que hacer un estudio con un compañero, escribo mi parte en un archivo, probablemente un archivo de Word, luego comparto un enlace con permisos de escritura a mi compañero y uso un acortador de URLs... Cualquiera que llegue a ese enlace podría escribir en el documento, y gente malintencionada podría usarlo para infectar mi ordenador (insertando macros maliciosas por ejemplo). Ahora bien, imagino que lo de usar un enlace es para que el otro no se tenga que registrar en Onedrive. Yo lo que haría realmente en este caso es compartir una carpeta entre los dos (si no tiene una cuenta que se la cree que no cuesta tanto). De esa forma se evita el problema. Respecto a lo de Maps... Bueno pues eso sí que es complicado... Supongo la solución para evitarlo seria recurrir a la vieja escuela y simplemente indicarle la calle y el número, luego el otro que lo busque en Maps si no sabe exactamente donde está.