Kurz-URLs von Clouddiensten geben persönliche Dateien preis

Forscher der Cornell Tech University haben herausgefunden, dass Hacker Kurz-URLs von Clouddiensten benutzen können, um auf persönliche Informationen wie Dateien oder sogar Navigationsanweisungen zuzugreifen. Ihrem Forschungsbericht (PDF) zufolge sind die für die verkürzten Links benutzten Tokens zu klein. Ein Angreifer könnte so die tatsächliche URL der freigegebenen Dateien erraten, was es jedem erlauben würde, auf die Dateien zuzugreifen – und nicht nur die Personen, für die sie bestimmt waren.

Am Beispiel des Kurz-URL-Diensts Bit.ly, der Tokens mit 6 Stellen verwendet, erläutern die Forscher ihren Angriff. Von 100 Millionen zufällig generierten Tokens, die sie mit 189 Rechnern bei Bit.ly abgefragt haben, erzielten sie rund 42,2 Millionen Treffer, sprich gültige URLs. „Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden“, heißt es in dem Bericht.

Das Problem betrifft aber nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten verteilt werden, sondern auch die eigenen Kurz-URLs der Cloudprovider. Hier nennen die Forscher als Beispiel von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps ergaben demnach eine Trefferquote von 37,5 Prozent.

Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain „ondrive.live.com“ und auf weitere 16.521 Dateien und Ordner unter der Domain „skydrive.live.com“. Jeder der 189 Clients entdeckte pro Tag durchschnittlich 43 gültige OneDrive-URLs. Um alle OneDrive/Skydrive-URLs aufzudecken, würde ein Client etwa 245.000 Tage benötigen. „Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden“, so die Forscher weiter.

Microsoft wusste den Forscher zufolge schon seit Mai 2015 von der Schwachstelle. Der Softwarekonzern strich schließlich im März die Funktion zur Generierung von Kurz-URLs für OneDrive, nach eigenen Angaben jedoch nicht aufgrund von Sicherheitsbedenken.

Google informierten die Forscher über das Datenleck im Zusammenhang mit Kurz-URLs für Google Maps im September. Google habe schon eine Woche später die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs deutlich erschwere, ergänzten die Forscher.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.