Mange bruker tjenester som Bit.ly eller Goo.gl når de ønsker å dele en URL eller nettadresse med andre og adressen er veldig lang. Det er ofte langt mer håndtering med en adresse på 15-25 tegn, enn en som går over flere linjer i for eksempel en epost.
Men en undersøkelse som to forskere, Martin Georgiev og Vitaly Shmatikov, sistnevnte professor ved Cornell Tech i New York, viser at bruken av slike tjenester kan innebære en viss risiko.
Automatisert skanning
Det er Shmatikov selv som skriver dette i et blogginnlegg. Årsaken er at de forkortede URL-ene er så korte at de enkelt kan skannes ved hjelp av «brute force», altså ved å teste alle mulige varianter. Ofte er det bare en kombinasjon av mellom fem og sju tegn som utgjør hele forskjellen.
Dette kan gjøre det mulig for uvedkommende å finne fram til offentlig tilgjengelige dokumenter og websider med adresser som er vanskelige å gjette og som bare har blitt delt direkte med utvalgte personer.
Nå kan en nok si at man ikke bør publisere noe offentlig på internett dersom det ikke er greit at alle andre får tilgang til det. Men det finnes tilfeller hvor dette kan være vanskelig å unngå.
Google Maps
Forskerne har sett spesielt på to tjenester. Den ene er Google Maps, hvor brukeren kan dele reiseruter ved hjelp av forkortede URL-er med en id med fem tilsynelatende vilkårlige tegn. Vanligvis inkluderer ikke ruten noen personlig informasjon, men dersom ruten starter ved hjemmet til brukeren, er saken en annen.
Ifølge forskerne peker omtrent ti prosent av de korte Google Maps-URL-ene til reiseruter. Disse kan inkludere ruten til destinasjoner som klinikker for spesielle sykdommer, avrusningsklinikker, fengsler og mer eller mindre lyssky forlystelsessteder.
Microsoft OneDrive
Den andre tjenesten forskerne studerte nærmere, er Microsoft OneDrive, hvor en Bit.ly-basert tjeneste med 1drv.ms-adresse ble tilbudt. Her var den id-delen av den forkortede URL-en på bare seks tegn. Forskerne testet et utvalg på 100 millioner tilfeldig valgte adresser og kom fram til nærmere 20 000 OneDrive-mapper og -filer.
Problemet her var dog større, siden også de vanlige URL-ene til OneDrive-innhold var bygd opp på en forutsigbar måte. Dersom man hadde tilgang til URL-en til ett dokument, kunne man ved hjelp av denne finne rotmappen i brukerens OneDrive-konto og deretter se på HTML-filen til denne for å finne andre filer tilknyttet samme konto.
En forutsetning for å lese innholdet er selvfølgelig at filene er delt i aksesskontrollen. Forskerne fant ved hjelp av metodene over mer enn 1,3 millioner dokumenter og andre filer. Rundt 7 prosent av mappene som ble funnet, var åpne for skriving, noe som betyr at hvem som helst kan redigere innholdet, inkludert å laste opp skadevare.
Shmatikov kommer med flere detaljer om dette i blogginnlegget.
Bedring
Både Google og Microsoft ble varslet om dette i fjor, og begge har reagert.
De forkortede URL-ene som kan opprettes i Google Maps nå, inkluderer en id på enten 11 eller 12 tegn. Dessuten er det ifølge Shmatikov blitt lagt inn tiltak som begrenser mulighetene for å skanne eksisterende URL-er.
Shmatikov skriver at Microsoft opprinnelig mente at funnene som forskerne hadde gjort, ikke kvalifiserte som sårbarheter. Selskapet skal likevel ha fjernet muligheten til å lage nye 1drv.ms-adresser inne i OneDrive-tjenesten. Metoden for å traversere inne i kjente kontoer, skal også ha sluttet å fungere.
For innholdstjenester anbefaler forskerne generelt at bit.ly ikke brukes, men at innholdstjenestene i stedet tilbyr egne tjenester for forkorting av URL-er, hvor det brukes id-er med større lengde enn fem til sju tegn, hvor det er innført tiltak som hindrer bruk av automatiserte skannere, samt at det sikres at lekkasje av én URL i selve innholdstjenesten, ikke kompromitterer enhver delt URL i en konto.
