Unsichere Kurz-URLs können zur Offenlegung persönlicher Daten führen

Das betrifft vor allem Kurz-URLs von Drittanbietern wie Bit.ly sowie Cloud-Angebote von Microsoft und Google. Die tatsächlichen URLs hinter den Kurz-URLs lassen sich aufgrund zu kurzer Tokens erraten. Sicherheitsforscher erreichten im Test eine Trefferquote von über 40 Prozent.
Forscher der Cornell Tech University haben enthüllt, dass Kriminelle Kurz-URLs von Cloud-Services dazu missbrauchen können, persönliche Daten wie Dateien und sogar Navigationsanweisungen abzufangen. Laut ihrem Forschungsbericht (PDF) sind die für die verkürzten Links eingesetzten Tokens zu klein. Die tatsächliche URL der freigegebenen Dateien könnte ein Angreifer auf diese Weise erraten. Das würde es wiederum Dritten erlauben, sich Zugang zu den Dateien zu verschaffen.
Die Forscher erklären die Vorgehensweise bei ihrem Angriff am Beispiel des Kurz-URL-Dienstes Bit.ly, welcher sechsstellige Tokens einsetzt. Von 100 Millionen zufällig generierten Tokens, die sie mit 189 Rechnern bei Bit.ly abgefragt haben, erzielten sie rund 42,2 Millionen Treffer, also gültige URLs. “Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden”, heißt es in dem Bericht.
Doch nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten ausgeliefert werden, sind von dem Problem betroffen, sondern ebenso die eigenen Kurz-URLs der Cloudprovider. Als Beispiel nennen die Forscher von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps resultieren demzufolge in einer Trefferquote von 37,5 Prozent.
Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain “onedrive.live.com” sowie auf weitere 16.521 Dateien und Ordner unter der Domain “skydrive.live.com”. Jeder der 189 Clients entdeckte im Schnitt 43 gültige OneDrive-URLs pro Tag. Um alle OneDrive/Skydrive-URLs offenzulegen, würde ein Client rund 245.000 Tage brauchen. “Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden”, so die Forscher weiter.
Nach Angaben der Forscher ist die Schwachstelle Microsoft bereits seit Mai 2015 bekannt. Im März hat der Softwarekonzern die Funktion zur Generierung von Kurz-URLs für OneDrive letztendlich gestrichen. Eigenen Angaben zufolge geschah dies allerdings nicht aufgrund von Sicherheitsbedenken.
Google wurde von den Forschern im September über die Kurz-URL-Datenlücke bei Google Maps informiert. Schon eine Woche später habe der Internetkonzern die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs erheblich schwerer mache, wie die Forscher ergänzten.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit 14 Fragen auf ITespresso. –>Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.