نشانی های کوتاه شده وب اطلاعات کاربران را در معرض خطر قرار می دهند

پژوهشگران حوزه امنیت دریافته اند که URLهای کوتاه شده می توانند هدف حملات جستجوی فراگیر قرار گیرند و در نتیجه اطلاعات شخصی افراد را در اختیار هر موجودیتی قرار دهند که به آنها علاقمند است.

این آسیب پذیری توسط دو کارشناس به نام های مارتین جورجیو و ویتالی اشماتیکو کشف شد که URL کوتاه شده شرکت هایی نظیر گوگل، مایکروسافت و bit.ly را مورد بررسی قرار داده بودند. برای نمونه آدرس استاندارد سرویس نقشه گوگل 150 کاراکتر دارد اما برای سهولت استفاده یک جایگزین 6 کاراکتری از آن نیز ارائه می شود.

این در حالی است که طبق بررسی های صورت گرفته توسط این دو نفر ترکیب شش کاراکتر آنقدر کوتاه هست که بشود با آزمون و خطا آن را شکست و در نتیجه این خطر وجود دارد که فایل های ذخیره شده در فضای کلاود و درخواست های ارائه شده به سرویس مپس در سرتاسر جهان در معرض خطر انتشار قرار گیرند.

جورجیو و اشماتیکو در جریان بررسی های خود توانستند به فایل های گوگل درایو و وان درایو مایکروسافت دسترسی پیدا کنند که با آدرس های URL کوتاه شده به اشتراک گذاشته شده بودند. اما برخی از آن فایل ها به فولدرهایی متصل بودند که اجازه نوشتن (write-access) داشتند و به هر کاربری در سطح دنیا امکان می دادند که کدهای مخرب خود را به آنها اضافه نماید.

به طور طبیعی، نسخه ای از تمامی محتواهای ذخیره شده در فضای آنلاین روی سیستم دسکتاپی کاربر نیز ذخیره می گردد و با در نظر داشتن ادعای این دو کارشناس می توان نتیجه گرفت که خطر تزریق بدافزار در سطح گسترده همواره همه کاربرانی که از این شیوه ذخیره سازی بهره می گیرند را تهدید می کند. این دو نفر اعلام کردند که حدود 7 درصد از اکانت های وان درایو و گوگل درایوی که بررسی کردند در برابر این نوع تهدید آسیب پذیر بودند.

جالب است بدانید آنها در کوتاه ترین زمان ممکن توانستند با استفاده از آسیب پذیر موجود به فایل های یاد شده دسترسی پیدا کنند. برای مثال URLهای کوتاه گوگل مپس اغلب دربرگیرنده مسیرهایی میان دو آدرس خصوصی بوده و در نتیجه درک ارتباط میان داده هایی که قرار بوده خصوصی باشند بسیار ساده شده.

بدتر از همه اینکه، لینک نقشه برخی از کاربران به اطلاعات بسیار خصوصی نظیر تاسیسات درمانی و عبادتگاه های بازدید شده توسط آنها اشاره داشت. آنها همچنین موفق شدند با این روش افرادی که از مراکز بازپروری جوانان بازدید کرده بودند را هم بیابند و حتی نام ببرند.

اما یکی از دلایلی که مردم به لینک های کوتاه اعتماد می کنند مبحثی به نام امنیت به واسطه ابهام است؛ براساس این ایده، اگر مردم اطلاعی از وجود یک فایل در اینترنت نداشته باشند، نمی توانند آن را پیدا کنند اما این دو نفر ثابت کردند که چنین مساله ای صحت ندارد.

جورجیو و اشماتیکو معتقدند مردم به این خاطر امنیت URLها را باور می کنند که «ظاهری تصادفی» دارند و به صورت عمومی هم به اشتراک گذاشته نمی شوند. اما در واقعیت این مساله صحت ندارد و هر کسی در دنیا می تواند به آنها دسترسی پیدا کند. خلاصه کلام اینکه به باور این دو کارشناس، ULRهای کوتاهی که به صورت خودکار ساخته می شوند ایده ای وحشتناک برای سرویس های مبتنی بر کلاود به شمار می روند.

در پایان مطلب نیز این دو کارشناس راهکارهای متفاوتی را برشمردند که گوگل و مایکروسافت در واکنش به این خبر در پیش گرفتند: گوگل طول کاراکترها را دوبرابر کرد و بلافاصله به سایت Wired خبر داد که «از تلاش های صورت گرفته برای حفظ امنیت سرویس نقشه و محصولات خود تقدیر و تمجید می کند.»

مایکروسافت اما آنطور که محققان گفته اند، اظهار داشته که این آسیب پذیری فعلا مشکل آفرین نمی شود اما در سکوت خبری قابلیت کوتاه کننده لینک وان درایو را حذف کرد.

مطالب مرتبط

آیا اندروید O سیستم عامل موبایلی گوگل را به جایگاه شایسته اش می رساند؟

گوگل دیشب در سخنرانی اصلی کنفرانس توسعه دهندگان خود که به Google I/O معروف است، محصولات و خدمات مختلفی را از حوزه های متعدد کسب و کارش معرفی کرد که هرکدام به نوبه خود از اهمیت بسزایی برخوردارند؛ در این میان اما اندروید را می توان یکی از مهم ترین بخش های مراسم دیشب خواند،... ادامه مطلب

انتشار گزارشی جدید که نام تلفن های هوشمند جدید گوگل را تایید می کند

پیشتر در خبرها خواندید که مراسم رونمایی از نکسوس های جدید گوگل در تاریخ هفتم مهرماه برگزار می گردد و حالا گزارش تازه ای از سوی Droid-Life منتشر شده که نشان می دهد دستگاه های یاد شده به ترتیب نکسوس 5X و نکسوس 6P نام خواهند داشت. البته هنوز هم مشخص نیست که دو حرف «اکس» و... ادامه مطلب

ویرجین گلکتیک موفقیت ارزشمندی را در آزمایش هواپیمای فضایی خود به دست آورد

«ویرجین گلکتیک» برای نخستین بار موفق شد سامانه ورود مجدد موسوم به feather را با موفقیت آزمایش کند. در این عملیات، هواپیما دو قسمت انتهایی را به داخل بدنه جمع می کند تا حالتی شبیه کپسول های فضایی پیدا کرده و زمانی که از فضای بیرون به جو زمین وارد می شود، عملکرد پایدارتری داشته باشد. شرکت... ادامه مطلب

ارزش سهام سامسونگ به بیشترین میزان خود در یک روز رسید

اگرچه عملکرد نسبتاً ضعیف سامسونگ در بازار سهام طی سال گذشته میلادی سبب شد تا سرمایه گذاران تمایل خود را از دست داده و حاضر به پرداخت مبالغ کلان برای خرید سهام کمپانی کره ای نشوند، اما عرضه گلکسی اس 7 سبب شد تا سامسونگ به بهترین سه ماهه خود در چند سال اخیر دست... ادامه مطلب

مایکروسافت و پذیرش شکست؛ موبایل دیگر در زمره نخستین اولویت های اهالی ردموند نیست

مایکروسافت همواره ادعا می کند که در «وهله نخست» یک شرکت فعال در زمینه «موبایل» است، با این همه، هفته گذشته، غول نرم افزاری دست به دو اقدام غیرمنتظره زد تا بیشتر از قبل از مفهوم تولید کننده موبایل (که با خرید نوکیا در آوریل سال 2014 میلادی رسما القا گردید) فاصله بگیرد. این شرکت در... ادامه مطلب

کمپانی HTC دو موبایل جدید از سری Desire را در شهریور ماه معرفی می کند

اگر محصولات کمپانی تایوانی HTC تاکنون نتوانسته اند توجه شما را به خود جلب کنند، شاید مدل های نسل بعدی آنها به این مهم دست یابند. این شرکت در حال نهایی سازی دو اسمارت فون میان رده از سری «دیزایر» است که نامی مشابه با پرچمدار سال 2016 یعنی HTC 10 را به دوش می کشند و «Desire 10... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود