پوشش ویژه دیجیاتو از MWC 2017

نشانی های کوتاه شده وب اطلاعات کاربران را در معرض خطر قرار می دهند

پژوهشگران حوزه امنیت دریافته اند که URLهای کوتاه شده می توانند هدف حملات جستجوی فراگیر قرار گیرند و در نتیجه اطلاعات شخصی افراد را در اختیار هر موجودیتی قرار دهند که به آنها علاقمند است.

این آسیب پذیری توسط دو کارشناس به نام های مارتین جورجیو و ویتالی اشماتیکو کشف شد که URL کوتاه شده شرکت هایی نظیر گوگل، مایکروسافت و bit.ly را مورد بررسی قرار داده بودند. برای نمونه آدرس استاندارد سرویس نقشه گوگل 150 کاراکتر دارد اما برای سهولت استفاده یک جایگزین 6 کاراکتری از آن نیز ارائه می شود.

این در حالی است که طبق بررسی های صورت گرفته توسط این دو نفر ترکیب شش کاراکتر آنقدر کوتاه هست که بشود با آزمون و خطا آن را شکست و در نتیجه این خطر وجود دارد که فایل های ذخیره شده در فضای کلاود و درخواست های ارائه شده به سرویس مپس در سرتاسر جهان در معرض خطر انتشار قرار گیرند.

جورجیو و اشماتیکو در جریان بررسی های خود توانستند به فایل های گوگل درایو و وان درایو مایکروسافت دسترسی پیدا کنند که با آدرس های URL کوتاه شده به اشتراک گذاشته شده بودند. اما برخی از آن فایل ها به فولدرهایی متصل بودند که اجازه نوشتن (write-access) داشتند و به هر کاربری در سطح دنیا امکان می دادند که کدهای مخرب خود را به آنها اضافه نماید.

به طور طبیعی، نسخه ای از تمامی محتواهای ذخیره شده در فضای آنلاین روی سیستم دسکتاپی کاربر نیز ذخیره می گردد و با در نظر داشتن ادعای این دو کارشناس می توان نتیجه گرفت که خطر تزریق بدافزار در سطح گسترده همواره همه کاربرانی که از این شیوه ذخیره سازی بهره می گیرند را تهدید می کند. این دو نفر اعلام کردند که حدود 7 درصد از اکانت های وان درایو و گوگل درایوی که بررسی کردند در برابر این نوع تهدید آسیب پذیر بودند.

جالب است بدانید آنها در کوتاه ترین زمان ممکن توانستند با استفاده از آسیب پذیر موجود به فایل های یاد شده دسترسی پیدا کنند. برای مثال URLهای کوتاه گوگل مپس اغلب دربرگیرنده مسیرهایی میان دو آدرس خصوصی بوده و در نتیجه درک ارتباط میان داده هایی که قرار بوده خصوصی باشند بسیار ساده شده.

بدتر از همه اینکه، لینک نقشه برخی از کاربران به اطلاعات بسیار خصوصی نظیر تاسیسات درمانی و عبادتگاه های بازدید شده توسط آنها اشاره داشت. آنها همچنین موفق شدند با این روش افرادی که از مراکز بازپروری جوانان بازدید کرده بودند را هم بیابند و حتی نام ببرند.

اما یکی از دلایلی که مردم به لینک های کوتاه اعتماد می کنند مبحثی به نام امنیت به واسطه ابهام است؛ براساس این ایده، اگر مردم اطلاعی از وجود یک فایل در اینترنت نداشته باشند، نمی توانند آن را پیدا کنند اما این دو نفر ثابت کردند که چنین مساله ای صحت ندارد.

جورجیو و اشماتیکو معتقدند مردم به این خاطر امنیت URLها را باور می کنند که «ظاهری تصادفی» دارند و به صورت عمومی هم به اشتراک گذاشته نمی شوند. اما در واقعیت این مساله صحت ندارد و هر کسی در دنیا می تواند به آنها دسترسی پیدا کند. خلاصه کلام اینکه به باور این دو کارشناس، ULRهای کوتاهی که به صورت خودکار ساخته می شوند ایده ای وحشتناک برای سرویس های مبتنی بر کلاود به شمار می روند.

در پایان مطلب نیز این دو کارشناس راهکارهای متفاوتی را برشمردند که گوگل و مایکروسافت در واکنش به این خبر در پیش گرفتند: گوگل طول کاراکترها را دوبرابر کرد و بلافاصله به سایت Wired خبر داد که «از تلاش های صورت گرفته برای حفظ امنیت سرویس نقشه و محصولات خود تقدیر و تمجید می کند.»

مایکروسافت اما آنطور که محققان گفته اند، اظهار داشته که این آسیب پذیری فعلا مشکل آفرین نمی شود اما در سکوت خبری قابلیت کوتاه کننده لینک وان درایو را حذف کرد.

مطالب مرتبط

مدل دو سیم کارته گلکسی نوت 7 به همراه 6 گیگابایت حافظه رم مجوز رگولاتوری چینی را دریافت کرد

در حرکتی دور از انتظار، وب سایت رگولاتوری چینی  TENAA اخیراً لیست خود را تغییر داده و مدلی مجهز به حافظه رم 6 گیگابایتی و حافظه داخلی 128 گیگابایتی از فبلت گلکسی نوت 7 سامسونگ را به آن افزوده است. این مدل گلکسی نوت 7، از دو سیم کارت به صورت همزمان پشتیبانی کرده و به... ادامه مطلب

اولین تصویر از موبایل بدون حاشیه Honor Magic افشا شد

کمپانی هوآوی پیش از این اعلام کرده بود در روز 16 دسامبر (یا 26 آذرماه) از موبایل هوشمند جدیدی تحت برند آنر رونمایی خواهد کرد که از نمایشگر بدون حاشیه بهره می گیرد. این موبایل هوشمند با نام Honor Magic شناخته می شود و ظاهراً گذشته از نمایشگر منحصر به فردش، از مشخصات سخت افزاری... ادامه مطلب

موبایل های Moto در سال جدید به حسگر تشخیص اثر انگشت مجهز خواهند شد

امروز مدیر کمپانی لنوو اطلاعات جالبی در مورد توسعه خط تولید موبایل های Moto در سال 2016 میلادی اعلام نمود و اظهار داشت تمامی اسمارت فون های تحت این برند که امسال تولید خواهند شد به حسگر تشخیص اثر انگشت مجهز می گردند. این خبر، چرخش 180 درجه ای لنوو را نشان می دهد که با... ادامه مطلب

اپلیکیشن های جدید سامسونگ، دوربین دوگانه گلکسی S8 را تأیید می کنند

همان طور که دیروز مطلع شدید، پرچمدار بعدی سامسونگ به احتمال فراوان در تاریخ 26 فوریه (هشتم اسفند ماه) رونمایی خواهد شد. در همین رابطه، کمپانی مذکور چند مارک تجاری را در کره جنوبی به ثبت رسانده که می توانند به حضور ماژول دوربین دوگانه در گلکسی S8 اشاره داشته باشند. یکی از این دو مارک... ادامه مطلب

توسعه نرم افزاری که می تواند تماس های تلفنی را قابل فهم تر کند

در محیط های شلوغ شنیدن صدای یکدیگر با استفاده از تلفن های همراه کاری بسیار دشوار است و غالبا داد زدن هم تاثیری در این مساله ندارد. اما سازمانی به نام Fraunfofer باور دارد که نرم افزار صوتی تازه اش می تواند این مشکل را برطرف نماید و حتی پیام هایی که هر از چندگاه... ادامه مطلب

از سر گیری فروش گلکسی نوت 7 در کره جنوبی به تعویق افتاد

چندی پیش در خبرها اعلام شد یکی از نهادهای دولتی کره جنوبی از سامسونگ خواسته تا مهلت تعویض یا مرجوع ساختن گلکسی نوت 7 در این کشور را تمدید نماید. حال به نظر می رسد کمپانی کره ای به درخواست فوق پاسخ مثبت داده و از سر گیری فروش این فبلت را اندکی به تعویق انداخته. طبق... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود