Cara Menutup Celah Keamanan Pada Penyingkat URL
Penyingkat URL selama ini telah memberikan berbagai manfaat, sederhana, dalam berbagi link, bakan dapat dijadikan salah satu sumer pendapatan pasif, tapi link ini tanpa disadari dapat mengekspos informasi yang paling pribadi. Dua peneliti menganalisis jutaan URL pendek bit.ly dan
menemukan bahwa secara acak menghasilkan alamat memungkinkan mereka
untuk mengakses konten di belakang mereka.
Tim yang dipimpin oleh Cornell Tech, menghasilkan lebih dari 200 juta Google dan Microsoft host - backend keduanya menggunakan penyingkat url bit.ly dan mampu mengakses jutaan rute mengemudi dan ratusan ribu dokumen pribadi. Secara khusus, link yang berhubungan dengan Google Maps data dan dokumen yang disimpan di Microsoft onedrive.Para peneliti juga mengatakan secara teoritis hal itu memungkinkan untuk menambahkan malware dan dokumen berbahaya ke folder onedrive, yang kemudian akan secara otomatis disinkronisasikan ke komputer pengguna.Vitaly Shmatikov, yang memimpin penelitian, mengatakan cacat dalam URL pendek memiliki "konsekuensi serius" untuk keamanan layanan cloud. "Dalam kedua kasus, setiap kali pengguna ingin berbagi link ke dokumen, folder, atau peta dengan pengguna lain, layanan ini menawarkan untuk menghasilkan URL pendek - yang, seperti yang kita tampilkan, tidak sengaja dapat menyingkap URL publik asli," tulis Shmatikov dalam posting blog.Untuk penelitian ini Shmatikov dan peneliti independen Martin Georgiev dihasilkan URL pendek dengan lima dan enam karakter setelah nama domain. Untuk bit.ly mereka menciptakan 100 juta URL enam karakter potensial menggunakan 189 mesin. Angka itu hanya mewakili 0,176 persen dari kemungkinan enam karakter URL.
Tim yang dipimpin oleh Cornell Tech, menghasilkan lebih dari 200 juta Google dan Microsoft host - backend keduanya menggunakan penyingkat url bit.ly dan mampu mengakses jutaan rute mengemudi dan ratusan ribu dokumen pribadi. Secara khusus, link yang berhubungan dengan Google Maps data dan dokumen yang disimpan di Microsoft onedrive.Para peneliti juga mengatakan secara teoritis hal itu memungkinkan untuk menambahkan malware dan dokumen berbahaya ke folder onedrive, yang kemudian akan secara otomatis disinkronisasikan ke komputer pengguna.Vitaly Shmatikov, yang memimpin penelitian, mengatakan cacat dalam URL pendek memiliki "konsekuensi serius" untuk keamanan layanan cloud. "Dalam kedua kasus, setiap kali pengguna ingin berbagi link ke dokumen, folder, atau peta dengan pengguna lain, layanan ini menawarkan untuk menghasilkan URL pendek - yang, seperti yang kita tampilkan, tidak sengaja dapat menyingkap URL publik asli," tulis Shmatikov dalam posting blog.Untuk penelitian ini Shmatikov dan peneliti independen Martin Georgiev dihasilkan URL pendek dengan lima dan enam karakter setelah nama domain. Untuk bit.ly mereka menciptakan 100 juta URL enam karakter potensial menggunakan 189 mesin. Angka itu hanya mewakili 0,176 persen dari kemungkinan enam karakter URL.
Setelah peneliti membuat URL pendek, mereka kemudian memindainya untuk melihat mana yang aktif. Hasilnya untuk onedrive, 42 persen dari 100 juta domain dibuat aktif dan 19.524 dari mereka menyebabkan file dan folder dapat diakses, setelah URL pendek diakses, para peneliti menjelaskan, hal itu mungkin
untuk memprediksi struktur berkas dan akses file lainnya dan folder dari
pengguna.Para peneliti mengatakan ada berbagai jenis file Word, Excel, PowerPoint,
OneNote, PDF, survei dan file media lainnya yang bisa diunduh. Ini yang dapat diakses untuk enam dan tujuh URL karakter. Dalam sebuah pernyataan kepada WIRED.com, Microsoft, yang awalnya
tidak bereaksi terhadap penelitian tersebut, mengatakan sekarang sudah
mulai menghapus penyingkat URL dari pilihan file sharing.
Ketika melihat Google Maps para peneliti menemukan 23.965.718 link hidup, dengan sepuluh persen membuka arah mengemudi."Ini termasuk arah ke dan dari berbagai lokasi sensitif: klinik untuk penyakit tertentu (termasuk kanker dan penyakit mental), pusat pengobatan kecanduan, penyedia aborsi, pemasyarakatan dan fasilitas penahanan remaja, gajian dan mobil-judul pemberi pinjaman, klub tuan-tuan, dll"Dengan membandingkan arah untuk membuka catatan perumahan mereka mengklaim itu akan mungkin untuk mengidentifikasi orang yang membuat perjalanan. "Misalnya, ketika menganalisis satu endpoint tersebut, kami menemukan alamat, nama lengkap, dan usia seorang wanita muda yang berbagi arah ke fasilitas keluarga berencana," kata Shmatikov.
Google, ketika diberitahu tentang eksploitasi tersebut pada tahun 2015 oleh peneliti, langsung meningkatkan jumlah karakter setelah domain menjadi 11 atau 12, membatasi kemungkinan seseorang untuk dapat menebak atau menggunakan brute force. Para peneliti mengatakan Google juga telah memperkenalkan cara baru untuk membatasi pemindaian URL yang ada.
Shmatikov berpendapat bahwa layanan cloud menggunakan URL shorteners harus mendeteksi dan membatasi URL pemindaian, pertimbangkan untuk menggunakan captchas dan API desain yang tidak menampilkan setiap URL dalam struktur tersebut, jika ada yang bocor.
Ketika melihat Google Maps para peneliti menemukan 23.965.718 link hidup, dengan sepuluh persen membuka arah mengemudi."Ini termasuk arah ke dan dari berbagai lokasi sensitif: klinik untuk penyakit tertentu (termasuk kanker dan penyakit mental), pusat pengobatan kecanduan, penyedia aborsi, pemasyarakatan dan fasilitas penahanan remaja, gajian dan mobil-judul pemberi pinjaman, klub tuan-tuan, dll"Dengan membandingkan arah untuk membuka catatan perumahan mereka mengklaim itu akan mungkin untuk mengidentifikasi orang yang membuat perjalanan. "Misalnya, ketika menganalisis satu endpoint tersebut, kami menemukan alamat, nama lengkap, dan usia seorang wanita muda yang berbagi arah ke fasilitas keluarga berencana," kata Shmatikov.
Google, ketika diberitahu tentang eksploitasi tersebut pada tahun 2015 oleh peneliti, langsung meningkatkan jumlah karakter setelah domain menjadi 11 atau 12, membatasi kemungkinan seseorang untuk dapat menebak atau menggunakan brute force. Para peneliti mengatakan Google juga telah memperkenalkan cara baru untuk membatasi pemindaian URL yang ada.
Shmatikov berpendapat bahwa layanan cloud menggunakan URL shorteners harus mendeteksi dan membatasi URL pemindaian, pertimbangkan untuk menggunakan captchas dan API desain yang tidak menampilkan setiap URL dalam struktur tersebut, jika ada yang bocor.
Komentar
Posting Komentar