Forscher der Cornell Tech University haben herausgefunden, dass Hacker Kurz-URLs von Clouddiensten benutzen können, um auf persönliche Informationen wie Dateien oder sogar Navigationsanweisungen zuzugreifen. Ihrem Forschungsbericht (PDF) zufolge sind die für die verkürzten Links benutzten Tokens zu klein. Ein Angreifer könnte so die tatsächliche URL der freigegebenen Dateien erraten, was es jedem erlauben würde, auf die Dateien zuzugreifen – und nicht nur die Personen, für die sie bestimmt waren.
Am Beispiel des Kurz-URL-Diensts Bit.ly, der Tokens mit 6 Stellen verwendet, erläutern die Forscher ihren Angriff. Von 100 Millionen zufällig generierten Tokens, die sie mit 189 Rechnern bei Bit.ly abgefragt haben, erzielten sie rund 42,2 Millionen Treffer, sprich gültige URLs. „Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden“, heißt es in dem Bericht.
Das Problem betrifft aber nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten verteilt werden, sondern auch die eigenen Kurz-URLs der Cloudprovider. Hier nennen die Forscher als Beispiel von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps ergaben demnach eine Trefferquote von 37,5 Prozent.
Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain „ondrive.live.com“ und auf weitere 16.521 Dateien und Ordner unter der Domain „skydrive.live.com“. Jeder der 189 Clients entdeckte pro Tag durchschnittlich 43 gültige OneDrive-URLs. Um alle OneDrive/Skydrive-URLs aufzudecken, würde ein Client etwa 245.000 Tage benötigen. „Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden“, so die Forscher weiter.
HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Microsoft wusste den Forscher zufolge schon seit Mai 2015 von der Schwachstelle. Der Softwarekonzern strich schließlich im März die Funktion zur Generierung von Kurz-URLs für OneDrive, nach eigenen Angaben jedoch nicht aufgrund von Sicherheitsbedenken.
Google informierten die Forscher über das Datenleck im Zusammenhang mit Kurz-URLs für Google Maps im September. Google habe schon eine Woche später die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs deutlich erschwere, ergänzten die Forscher.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
2 Kommentare zu Kurz-URLs von Clouddiensten geben persönliche Dateien preis
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ich verstehe den Artikel nicht ganz: Es gibt Nutzer, die über Clouddienste Daten per Link freigeben, d.h. jeder mit diesem Link kann diese Daten einsehen/herunterladen. Und über Bit.ly generierte Links, die auf diese öffentlich zugänglichen Daten verweisen, können mit etwas Aufwand herausgefunden werden.
Was genau ist jetzt die Schwachstelle? Ich mein, die Daten sind ÖFFENTLICH per Link abrufbar, dann kann doch das Abrufen keine Schwachstelle sein? o.O Eine Schwachstelle wäre es, wenn die Dateien für bestimmte, eingeloggte Nutzer freigegeben werden und auch anaonyme Besucher die Dateien anschauen könnten – aber das scheint ja nicht der Fall zu sein.
M.E. ist die Idee dahinter die, dass es zu viele Möglichkeiten für die URLs gibt, als dass sie erraten werden könnten. Dadurch kann dann eben durch einfaches raten eine zwar öffentliche, aber nur für dedizierte Nutzer gedachte Seite, für Dritte einsehbar werden.
Es sollte klar sein, dass man eh keine intimen/wichtigen Informationen hochlädt, sofern kein Passwordschutz besteht. Aber wenn man nicht ganz konsequent ist, kann man eben Pech haben.
Mit größeren/längeren Tokens ließe sich das Risiko erheblich reduzieren.