Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Kurz-URLs als Sicherheitsrisiko

US-Studie

Kurz-URLs als Sicherheitsrisiko

18. Mai 2016, 7:31 Uhr | Daniel Dubsky
© jamdesign / Fotolia

Verkürzte URLs sind praktisch, aber auch ein Sicherheitsrisiko, wie amerikanische Forscher festgestellt haben. Auch Unbefugte können unter Umständen an geteilte Dateien oder sogar Schadsoftware einschleusen.

Dass Kurz-URLs ein Sicherheitsrisiko bergen, ist bekannt. Der Nutzer sieht nicht, wohin er weitergeleitet wird und landet womöglich auf einer Website, über die versucht wird, Malware einzuschleusen. Doch die Sicherheitsrisiken reichen noch weiter, wie Forscher der Cornell University jetzt festgestellt haben (PDF). Denn über Kurz-URLs geteilte Dateien sind keineswegs nur den Empfängern des Links zugänglich – auch unbekannte Dritte haben Zugriff, wenn sie die Buchstabenkombinationen am Ende der Links ermitteln. Für den konkreten Einzelfall mag das schwierig sein, doch da die Zeichenketten relativ kurz sind, lassen sich automatisiert große Mengen davon erstellen und aufrufen. Auf diese Weise können zahlreiche Dokumente, die nicht für die Öffentlichkeit bestimmt sind, abgerufen werden.

Neben klassischen Link-Verkürzern wie bit.ly betrifft das Problem auch Anbieter von Cloud-Speichern wie Google und Microsoft, die Kurz-URLs für das Datei-Sharing verwenden. Wie hoch die Trefferrate ist, konnten die Forscher eindrucksvoll zeigen. Sie generierten 100 Millionen zufällige Tokens mit sechs Buchstaben für bit.ly-URLs, von denen 42 Millionen aufgerufen werden konnten, also tatsächlich gültig waren. Fast 20.000 davon führten zu Ordnern bei Microsofts OneDrive (vormals: Skydrive). Dort konnten die Forscher über die Parameter in der URL sogar Informationen über die Verzeichnisstruktur und andere Ordner sammeln – eine Sicherheitslücke, die Microsoft mittlerweile geschlossen hat. Nichtsdestotrotz macht der Versuch klar, dass vertrauliche Dokumente in freigegebenen Ordnern nicht gut aufgehoben sind. Zudem weisen die Forscher darauf hin, dass bei einigen Ordnern die Bearbeitungsfunktionen aktiviert waren, sodass sich auch Dateien hochladen ließen. Das könnten Cyberkriminelle nutzen, um Malware einzustellen, die dann durch die Synchronisation unter Umständen sogar automatisch über verschiedene Nutzer und Geräte hinweg verteilt wird.

Auch beim URL-Verkürzer der Google Maps konnten die Forscher zahlreiche gültige Kurz-URLs ermitteln und teilweise Nutzern zuordnen. Auf diese Weise wurden auch vertrauliche Ziele wie Krankenhäuser, Gefängnisse oder Pfandhäuser offengelegt. Das Fazit der Forscher: Die Nutzer müssten besser über die Sicherheitsrisiken von Kurz-URLs aufgeklärt werden. Zudem müssten die Anbieter die Zeichenketten am Ende verlängern (was Google bei Google Maps bereits getan hat) und Captchas einführen, um automatisierte Abrufe zu unterbinden.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
d.velop AG

d.velop AG
nexspace data centers GmbH

nexspace data centers GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
Plusnet GmbH

Plusnet GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH