Que los acortadores de URLs pueden ser peligrosos es algo que a estas alturas todos sabemos, ya que nunca podemos estar seguros de a dónde apunta una de sus direcciones. Pero ese podría no ser el único peligro, ya que si los utilizamos para intercambiar información privada también podríamos estar poniéndola en peligro.
Esta es la conclusión a la que llega un estudio publicado por dos investigadores de seguridad. Aseguran que para acceder a ella, lo único que tendría que hacer un atacante es aprovecharse de lo predecibles que son las direcciones de estos servicios y dedicarse a investigar cada una de las combinaciones posibles en el espacio de la URL.
Este informe es el fruto de 18 meses de trabajo realizado por el investigador Vitaly Shmatikov de la firma Cornell Tech y el independiente Martin Georgiev. En él ponen la lupa sobre OneDrive y Google Maps, ya que utilizan servicios de acortamiento de URLs, por lo que sin quererlo podrían estar poniendo en peligro la privacidad de sus usuarios.
Esto es lo que dice el estudio
Durante la investigación se hizo un escaneo de 100 millones de direcciones en bit.ly generando combinaciones aleatorias de seis caracteres. El 42% les llevaron a URLs reales, de las cuales 19.524 pertenecían a archivos de OneDrive, la mayoría de ellos online. Probaron también combinaciones de siete caracteres con un éxito del 29%, y han asegurado que centrándose en cierto tipo de combinaciones podían aumentar notablemente este porcentaje.
Analizando las direcciones que habían obtenido, los investigadores consiguieron acceder a un total de 1,3 millones de archivos subidos a la nube de OneDrive. Esto les llevó a la conclusión de que aproximadamente el 7% de las URLs de OneDrive estaban vinculadas a archivos abiertos con permiso de escritura. También obtuvieron acceso a cientos de archivos de Google Drive igualmente desprotegidos.
Escanear el acortador de Google fue mucho más fácil, ya que para Maps sólo se utilizaban 5 caracteres. Consiguieron encontrar 23 millones de direcciones de Google Maps, de las cuales un 10% correspondían a direcciones para ir de un sitio a otro y recordatorios de localizaciones. Estas estaban asociadas a cuentas específicas de usuarios, creando un serio problema de privacidad.
El estudio concluye que un atacante podría utilizar un botnet para escanear todos los caracteres posibles en los espacios de los acortadores de URLs. De esta accederían a miles de cuentas de OneDrive y Google Drive, pudiendo subir malware que se sincronizara automáticamente con los dispositivos móviles de sus propietarios.
Vitaly Shmatikov escribe en su blog las reacciones de ambas empresas cuando les presentaron el informe. Por una parte Google pasó de utilizar 5 caracteres a 11 y 12 en su acortador de direcciones para Maps, mientras que Microsoft dejó de ofrecer bit.ly directamente en OneDrive, haciendo también cambios en su estructira de URLs para tratar de evitar estas vulnerabilidades.
Vía | Vitaly Shmatikov
En Genbeta | Cómo crear tu propio acortador de URLs
Ver todos los comentarios en https://www.genbeta.com
VER 6 Comentarios