URL های کوتاه مشکلی بزرگ برای اطلاعات ذخیره شده در محیط ابری

   
نام نویسنده:
|
دسته بندی:
|
کوتاه کننده‌آدرس‌های اینترنتی (URLها) با اینکه راحت هستند اما مدت زمان طولانی است که متخصصان امنیتی را عصبانی کرده است چون تعیین اینکه این آدرس کوتاه شده شما را به کجا می‌برد مشکل است. دو پژوهش‌گر امنیتی دلایلی برای ترس از کوتاه کننده‌های URL به ویژه آن‌هایی که اطلاعات را روی خدمات ابری ذخیره و به اشتراک می‌گذارند ارائه دادند.

پژوهش‌گری به نام  مارتین جورجیو۱ به همراه استاد دانشگاه کرنل (Cornell) ویتالی شماتیکوف۲ دیروز مقاله‌ای تحت عنوان  «نابودی در شش ثانیه: URL های کوتاه، مضر برای خدمات ابری» منتشر کردند که در آن ضعف‌های ارائه‌دهندگان خدماتی مانند bit.ly و goo.gl که می‌تواند  اسناد شخصی ذخیره شده روی حساب‌های One Drive مایکروسافت و محل اطلاعات را از طریق نقشه گوگل در معرض خطر قرار دهد را توصیف کردند.
محققان می‌گویند مشکل اینجاست که URLهای کوتاه، خیلی کوتاه شده‌اند؛  URLهای بلند به نام دامنه و یک آدرس ۵ تا ۶ حرفی خلاصه شده‌اند مانند: ۱drv.ms.xxxxxx.
شماتیکوف در پستی در وبلاگ Freedom to tinker نوشت: «این آدرس‌ها آنقدر کوتاه هستند که مجموع کل URLها را می‌توان با یک حمله پویش کرد. در واقع، URLهای بلند در معرض دید عموم هستند و هرکسی با اندکی صبر و شکیبایی و داشتن تعداد اندکی رایانه می‌تواند آن‌ها را ببیند».
این محقق در مقاله‌اش خاطرنشان کرد که برای بررسی کوتاه کننده‌های URL در One Drive و نقشه‌ی گوگل که هردوی آن‌ها سرویس کوتاه کردن آدرس اینترنتی را به خدماتشان افزوده‌اند، یک سال و نیم وقت صرف کرده‌است.
شماتیکوف گفت اما رقیبان می‌توانند به  بررسی و جستجوی کل فضای URL‌های کوتاه شده بپردازند. این پژوهش‌گر در ادامه نوشت: «کاربرانی که URLهای کوتاه برای اسناد اینترنتی و نقشه‌هایشان تهیه می‌کنند ممکن است فکر کنند که چون  URL‌ها به طور تصادفی در معرض دید عموم قرار ندارند، پس روشی ایمنی انتخاب کرده‌اند. بررسی و آزمایش‌هی این دو پژوهش‌گر نشان می‌دهد که این دو شرایط رقیبان و دشمنان را از کشف خودکار URLهای واقعی از منابع ابری که کاربر آدرس خود را در آن به اشتراک گذاشته است، جلوگیری نمی‌کند. هر منبع به اشتراک گذاشته شده با یک URL کوتاه در دید عموم است و هرکسی در هرجای دنیا می‌تواند به آن‌ها دست یابد.
محققان می‌گویند که One Drive از bit.ly به عنوان کوتاه‌کننده استفاده می‌کند، بنابراین از طریق  API های خدمات مربوطه، بیش از ۱۰۰ میلیون آدرس bit.ly ۶ حرفی را به طور تصادفی بررسی کردند و متوجه شدند که ۴۲ درصد آدرس‌ها، URLهای واقعی هستند؛ یعنی تقریبا ۲۰ هزار آدرس کاربران را به پرونده‌ها و پوشه‌های OneDrive هدایت می‌کنند.

بدتر از همه اینکه ساختار URL در OneDrive قابل پیش‌بینی است.
شماتیکوف گفت: «مهاجم می‌توتند از URL به یک سند به اشتراک گذاشته شده برسد و  با ریشه‌یابی URL وارد آن حساب شود و از این طریق همه پرونده‌و پوشه‌های به اشتراک گذشته شده را ببیند.»
محققان طی بررسی‌هایشان هزاران پوشه OneDrive را با مجوز نوشتن پیدا کردند. محققان می‌گویند: «از آنجایی که پرونده‌های ذخیره شده روی ابر به طور خودکار روی رایانه و دستگاه شخصی کاربران نیز کپی می‌شوند، موقعیت مناسبی برای تزریق بدافزار ایجاد می‌شود».
محققان با نقشه گوگل توانستند نزدیک به ۲۴ میلیون پیوند پیدا کنند که ۱۰ درصد آن‌ها مربوط به مسیرهای رانندگی بوده‌اند. با مشخص شدن مقصد این مسیرها، بسیاری از اطلاعات شخصی حساس از طریق اینترنت در دسترس عموم قرار خواهد گرفت.
محققان گفتند: «بدین ترتیب آدرس محل سکونت، اطلاعات شناسایی و مکان‌هایی که شخص به آنجا رفته در معرض دید عموم قرار می‌گیرد و بدین ترتیب حریم شخصی مالی و پزشکی افراد در معرض خطر قرار می‌گیرد».
محققان یافته‌هایشان را به طور خصوصی به مایکروسافت و گوگل گزارش دادند. گوگل نیز برای رفع این مشکل URL های google/maps ۱۱ تا ۱۲ حرفی ایجاد کردند و همچنین دسترسی به URL‌های موجود را محدود کردند.
محققان گفتند که درضمن پیش از اینکه مایکروسافت ماه اگوست گذشته به محققان اطلاع دهد که مرکز منابع امنیتی مایکروسافت از تحقیقاتشان حمایت نمی‌کند، با ماکروسافت به مدت ۲ ماه بر سر مسئله‌ای تبادل نظر می‌کرده‌اند.
اما One Drive از ماه مارس گزینه‌ی کوتاه کردن URL را پیشنهاد داده است.
شماتیکوف گفت:«وقتی با MSRC دوباره تماس گرفتیم گفتند که این تغییرات ربطی به گزارش قبلی ما ندارد و این مشکلاتی که ما پیدا کرده‌ایم آسیب‌پذیری امنیتی به حساب نمی‌آیند. از زمان نوشتن این مقاله همه URLهای موجود در One Drive همچنان به قوت خود باقی است و در معرض خطر تزریق بدافزارها قرار دارند.»


 

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید