URL های کوتاه مشکلی بزرگ

به گزارش واحد امنیت سایبربان؛ کوتاه کننده آدرس‌های اینترنتی (URL ها) بااینکه راحت هستند اما مدت‌زمان طولانی است که متخصصان امنیتی را عصبانی کرده است چون تعیین اینکه این آدرس کوتاه شده شمارا به کجا می‌برد مشکل است.

دو پژوهش‌گر امنیتی دلایلی برای ترس از کوتاه کننده‌های URL به‌ویژه آن‌هایی که اطلاعات را روی خدمات ابری ذخیره و به اشتراک می‌گذارند ارائه دادند.

پژوهش‌گری به نام  مارتین جورجیو به همراه استاد دانشگاه کرنل (Cornell) ویتالی شماتیکوف  مقاله‌ای تحت عنوان  «نابودی در شش ثانیه: URL های کوتاه، مضر برای خدمات ابری» منتشر کردند که در آن ضعف‌های ارائه‌دهندگان خدماتی مانند bit.ly و goo.gl که می‌تواند  اسناد شخصی ذخیره‌شده روی حساب‌های One Drive مایکروسافت و محل اطلاعات را از طریق نقشه گوگل در معرض خطر قرار دهد را توصیف کردند.
محققان می‌گویند مشکل اینجاست که URLهای کوتاه، خیلی کوتاه شده‌اند؛  URLهای بلند به نام دامنه و یک آدرس ۵ تا ۶ حرفی خلاصه‌شده‌اند مانند: ۱drv.ms.xxxxxx. 

شماتیکوف در پستی در وبلاگ Freedom to tinker نوشت: «این آدرس‌ها آن‌قدر کوتاه هستند که مجموع کل URL ها را می‌توان با یک حمله پویش کرد. درواقع، URL های بلند در معرض دید عموم هستند و هرکسی با اندکی صبر و شکیبایی و داشتن تعداد اندکی رایانه می‌تواند آن‌ها را ببیند». 

این محقق در مقاله‌اش خاطرنشان کرد که برای بررسی کوتاه کننده‌های URL در One Drive و نقشه‌ی گوگل که هردوی آن‌ها سرویس کوتاه کردن آدرس اینترنتی را به خدماتشان افزوده‌اند، یک سال و نیم وقت صرف کرده است.
شماتیکوف گفت اما رقیبان می‌توانند به  بررسی و جستجوی کل فضای URL‌های کوتاه شده بپردازند. این پژوهش‌گر در ادامه نوشت: کاربرانی که URL های کوتاه برای اسناد اینترنتی و نقشه‌هایشان تهیه می‌کنند ممکن است فکر کنند که چون  URL‌ها به‌طور تصادفی در معرض دید عموم قرار ندارند، پس‌روشی ایمنی انتخاب کرده‌اند. بررسی و آزمایش‌های این دو پژوهش‌گر نشان می‌دهد که این دو شرایط رقیبان و دشمنان را از کشف خودکار URL های واقعی از منابع ابری که کاربر آدرس خود را در آن به اشتراک گذاشته است، جلوگیری نمی‌کند. هر منبع به اشتراک گذاشته‌شده با یک URL کوتاه در دید عموم است و هرکسی در هرجای دنیا می‌تواند به آن‌ها دست یابد.

محققان می‌گویند که One Drive از bit.ly به‌عنوان کوتاه‌مدت استفاده می‌کند، بنابراین از طریق  API های خدمات مربوطه، بیش از ۱۰۰ میلیون آدرس bit.ly ۶ حرفی را به‌طور تصادفی بررسی کردند و متوجه شدند که ۴۲ درصد آدرس‌ها، URL های واقعی هستند؛ یعنی تقریباً ۲۰ هزار آدرس کاربران را به پرونده‌ها و پوشه‌های OneDrive هدایت می‌کنند.

بدتر از همه اینکه ساختار URL در OneDrive قابل پیش‌بینی است.

شماتیکوف گفت: «مهاجم می‌تواند از URL به یک سند به اشتراک گذاشته‌شده برسد و  با ریشه‌یابی URL وارد آن حساب شود و از این طریق همه پرونده و پوشه‌های به اشتراک گذشته شده را ببیند.»

محققان طی بررسی‌هایشان هزاران پوشه OneDrive را با مجوز نوشتن پیدا کردند. محققان می‌گویند: «ازآنجایی‌که پرونده‌های ذخیره‌شده روی ابر به‌طور خودکار روی رایانه و دستگاه شخصی کاربران نیز کپی می‌شوند، موقعیت مناسبی برای تزریق بدافزار ایجاد می‌شود».

محققان با نقشه گوگل توانستند نزدیک به ۲۴ میلیون پیوند پیدا کنند که ۱۰ درصد آن‌ها مربوط به مسیرهای رانندگی بوده‌اند. با مشخص شدن مقصد این مسیرها، بسیاری از اطلاعات شخصی حساس از طریق اینترنت در دسترس عموم قرار خواهد گرفت.

محققان گفتند: «بدین ترتیب آدرس محل سکونت، اطلاعات شناسایی و مکان‌هایی که شخص به آنجا رفته در معرض دید عموم قرار می‌گیرد و بدین ترتیب حریم شخصی مالی و پزشکی افراد در معرض خطر قرار می‌گیرد».
محققان یافته‌هایشان را به‌طور خصوصی به مایکروسافت و گوگل گزارش دادند. گوگل نیز برای رفع این مشکل URL های google/maps ۱۱ تا ۱۲ حرفی ایجاد کردند و همچنین دسترسی به URL‌های موجود را محدود کردند.
محققان گفتند که در ضمن پیش از اینکه مایکروسافت ماه اگوست گذشته به محققان اطلاع دهد که مرکز منابع امنیتی مایکروسافت از تحقیقاتشان حمایت نمی‌کند، با ماکروسافت به مدت ۲ ماه بر سر مسئله‌ای تبادل‌نظر می‌کرده‌اند.
اما One Drive از ماه مارس گزینه‌ی کوتاه کردن URL را پیشنهاد داده است.

شماتیکوف گفت: «وقتی با MSRC دوباره تماس گرفتیم گفتند که این تغییرات ربطی به گزارش قبلی ما ندارد و این مشکلاتی که ما پیداکرده‌ایم آسیب‌پذیری امنیتی به‌حساب نمی‌آیند. از زمان نوشتن این مقاله همه URL های موجود در One Drive همچنان به قوت خود باقی است و در معرض خطر تزریق بدافزارها قرار دارند.»