نشانی های کوتاه شده وب اطلاعات کاربران را در معرض خطر قرار می دهند

پژوهشگران حوزه امنیت دریافته اند که URLهای کوتاه شده می توانند هدف حملات جستجوی فراگیر قرار گیرند و در نتیجه اطلاعات شخصی افراد را در اختیار هر موجودیتی قرار دهند که به آنها علاقمند است.

این آسیب پذیری توسط دو کارشناس به نام های مارتین جورجیو و ویتالی اشماتیکو کشف شد که URL کوتاه شده شرکت هایی نظیر گوگل، مایکروسافت و bit.ly را مورد بررسی قرار داده بودند. برای نمونه آدرس استاندارد سرویس نقشه گوگل 150 کاراکتر دارد اما برای سهولت استفاده یک جایگزین 6 کاراکتری از آن نیز ارائه می شود.

این در حالی است که طبق بررسی های صورت گرفته توسط این دو نفر ترکیب شش کاراکتر آنقدر کوتاه هست که بشود با آزمون و خطا آن را شکست و در نتیجه این خطر وجود دارد که فایل های ذخیره شده در فضای کلاود و درخواست های ارائه شده به سرویس مپس در سرتاسر جهان در معرض خطر انتشار قرار گیرند.

جورجیو و اشماتیکو در جریان بررسی های خود توانستند به فایل های گوگل درایو و وان درایو مایکروسافت دسترسی پیدا کنند که با آدرس های URL کوتاه شده به اشتراک گذاشته شده بودند. اما برخی از آن فایل ها به فولدرهایی متصل بودند که اجازه نوشتن (write-access) داشتند و به هر کاربری در سطح دنیا امکان می دادند که کدهای مخرب خود را به آنها اضافه نماید.

به طور طبیعی، نسخه ای از تمامی محتواهای ذخیره شده در فضای آنلاین روی سیستم دسکتاپی کاربر نیز ذخیره می گردد و با در نظر داشتن ادعای این دو کارشناس می توان نتیجه گرفت که خطر تزریق بدافزار در سطح گسترده همواره همه کاربرانی که از این شیوه ذخیره سازی بهره می گیرند را تهدید می کند. این دو نفر اعلام کردند که حدود 7 درصد از اکانت های وان درایو و گوگل درایوی که بررسی کردند در برابر این نوع تهدید آسیب پذیر بودند.

جالب است بدانید آنها در کوتاه ترین زمان ممکن توانستند با استفاده از آسیب پذیر موجود به فایل های یاد شده دسترسی پیدا کنند. برای مثال URLهای کوتاه گوگل مپس اغلب دربرگیرنده مسیرهایی میان دو آدرس خصوصی بوده و در نتیجه درک ارتباط میان داده هایی که قرار بوده خصوصی باشند بسیار ساده شده.

بدتر از همه اینکه، لینک نقشه برخی از کاربران به اطلاعات بسیار خصوصی نظیر تاسیسات درمانی و عبادتگاه های بازدید شده توسط آنها اشاره داشت. آنها همچنین موفق شدند با این روش افرادی که از مراکز بازپروری جوانان بازدید کرده بودند را هم بیابند و حتی نام ببرند.

اما یکی از دلایلی که مردم به لینک های کوتاه اعتماد می کنند مبحثی به نام امنیت به واسطه ابهام است؛ براساس این ایده، اگر مردم اطلاعی از وجود یک فایل در اینترنت نداشته باشند، نمی توانند آن را پیدا کنند اما این دو نفر ثابت کردند که چنین مساله ای صحت ندارد.

جورجیو و اشماتیکو معتقدند مردم به این خاطر امنیت URLها را باور می کنند که «ظاهری تصادفی» دارند و به صورت عمومی هم به اشتراک گذاشته نمی شوند. اما در واقعیت این مساله صحت ندارد و هر کسی در دنیا می تواند به آنها دسترسی پیدا کند. خلاصه کلام اینکه به باور این دو کارشناس، ULRهای کوتاهی که به صورت خودکار ساخته می شوند ایده ای وحشتناک برای سرویس های مبتنی بر کلاود به شمار می روند.

در پایان مطلب نیز این دو کارشناس راهکارهای متفاوتی را برشمردند که گوگل و مایکروسافت در واکنش به این خبر در پیش گرفتند: گوگل طول کاراکترها را دوبرابر کرد و بلافاصله به سایت Wired خبر داد که «از تلاش های صورت گرفته برای حفظ امنیت سرویس نقشه و محصولات خود تقدیر و تمجید می کند.»

مایکروسافت اما آنطور که محققان گفته اند، اظهار داشته که این آسیب پذیری فعلا مشکل آفرین نمی شود اما در سکوت خبری قابلیت کوتاه کننده لینک وان درایو را حذف کرد.

مطالب مرتبط

کرونا برای اولین بار شیب درآمد سالانه گوگل را نزولی می‌کند

تبلیغات دیجیتالی به عنوان بزرگ‌ترین جریان درآمدی هلدینگ «آلفابت»، شرکت مادر گوگل، تحت تاثیر ویروس کرونا قرار خواهد گرفت. چند تحلیلگر عقیده دارند گوگل ضربه‌ی سختی را در کل طول سال ۲۰۲۰ تجربه خواهد کرد که باعث می‌شود برای اولین بار در تاریخ این شرکت، کل درآمد یک سال از درآمد سال قبل کمتر باشد.اگرچه... ادامه مطلب

گوگل ادعای ترامپ در مورد سایت تشخیص کرونا را رد کرد

بدون شک ویروس کرونا مهم‌ترین بحران در جهان محسوب می‌شود. دونالد ترامپ به تازگی در ایالات متحده آمریکا وضعیت اضطراری اعلام کرده. در حالی که دونالد ترامپ خبر از راه‌اندازی یک وب‌سایت برای ویروس کرونا توسط گوگل داده بود، این ادعا از سوی کمپانی مذکور رد شده است.دونالد ترامپ در زمان اعلام وضعیت اضطراری در... ادامه مطلب

بیل گیتس از هیئت مدیره مایکروسافت کناره‌گیری کرد؛ تمرکز روی فعالیت‌های بشردوستانه

بیل گیتس، هم‌بنیانگذار مایکروسافت از هیئت مدیره این شرکت کناره‌گیری کرد. بیل گیتس که در گذشته مدیریت مایکروسافت را برعهده داشته، علت اقدام اخیر خود را تمرکز بیشتر روی فعالیت‌های بشردوستانه عنوان کرده است.استعفای «بیل گیتس» از هیئت مدیره مایکروسافت موضوع عجیبی نیست چرا که در سال 2000 نیز گیتس با هدف تمرکز روی بنیاد... ادامه مطلب

اپلیکیشن «سامانه مقابله با کرونا» به دلایل نامشخص از گوگل پلی حذف شد

گوگل پلی اپلیکیشنی که هفته گذشته از سوی وزارت بهداشت ایران منتشر شده بود را از پلتفرم خود حذف کرد. این اپلیکیشن که با نام «سامانه مقابله با کرونا» (AC19) عرضه شده بود، قرار بود به کاربران کمک کند تا علائم کرونا را تشخیص دهند تا اگر واقعاً نیاز است به مراکز درمانی مراجعه کنند،... ادامه مطلب

بزرگترین رویداد سالیانه گوگل لغو شد؛ I/O 2020 زیر تیغ کرونا

گوگل هر سال در فصل بهار کنفرانس Google I/O را برگزار می‌کند که معمولا در آن شاهد معرفی جدیدترین نسخه از اندروید هستیم. برگزاری کنفرانس امسال اما در هاله‌ای از ابهام فرو رفته بود، زیرا سایه ویروس کرونا روی آن سنگینی می‌کرد. این کمپانی اما امروز اعلام کرده است که مراسم امسال برگزار نمی‌شود و آن‌ها... ادامه مطلب

تمایل گوگل به همکاری مجدد با هواوی؛ سرویس‌های گوگل در راهند؟

به نظر می‌رسد گوگل علاقه دارد با هواوی و زیر برند آن آنر، دوباره همکاری را از سر بگیرد. دلیل این کار هم فروش محصولات این کمپانی چینی در بازار و همچنین محصولات وسوسه‌انگیزی همانند هواوی میت XS و به زودی سری P40 عنوان شده است.در پی اخباری که از آلمان و اسپانیا به گوش... ادامه مطلب

ویجیاتو

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟