Googles und Microsoft URL-Shortener sind ein Sicherheitsrisiko

Wer URL-Adressen über das Netz mit anderen teilen will und dabei nur eine begrenzte Anzahl an Zeichen zur Verfügung hat, greift gern einmal auf Programme wie bitly oder Google URL Shortener zurück. So bequem sie auch sein mögen, so unsicher sind diese auch gegenüber Hackern.

Das Kürzen von lange Web-Adressen wie beispielsweise bei bei Google Drive oder Microsoft OneDrive hochgeladenen Dateien, lassen sich mitunter aufgrund ihrer Länge nur schwer teilen. Vor allem über Twitter, wo ein Tweet maximal 140 Zeichen lang sein darf.

Dort und auch bei anderen Web-Diensten haben sich URL-Shortener wie bit.ly durchgesetzt. Den beiden Forschern Martin Georgiev und Vitaly Shmatikov der Cornell Tech University in Manhattan, New York City ist es gelungen, eben diese Dienste zu knacken. In einem umfangreichen Versuch haben sie bewiesen, dass man mit ein wenig ausprobieren an private Daten herankommen kann.

Sicherheitsrisiko URL-Shortener

Bei ihrem Versuch untersuchten sie über 200 Millionen mit bit.ly generierte Links, mit deren Hilfe sie auf Hunderttausende Dokumente bei Google Drive sowie Microsoft OneDrive zugreifen konnten. Bei diesem „Brute-Forcing“ der URL-Shortener sind am Ende Hunderttausende Dokumente und andere Daten zum Vorschein gekommen. Die Inhalte reichten dabei von einfachen Anfragen zur Navigation über Google Maps über Anbieter für Abtreibungen bis hin zu auf Drogenentzug spezialisierte Einrichtungen.
Man kann also behaupten, dass den Forschern ein sehr breites Spektrum an privaten Einsichten gelungen ist.

Das Gefährliche an der Sache ist jedoch, dass die Forscher mit Hilfe dieser URL-Shortener theoretisch in der Lage sind, mit Malware infizierte Dokumente auf die Cloud-Speicher von Google Drive sowie Microsoft OneDrive zu senden, welche über die Funktion zur automatischen Synchronisation ohne das Wissen der Nutzer auf deren Rechner landen würden.

Bei ihren Versuchen generierten sie unter anderem über bit.ly mehr als 71 Millionen OneDrive-Links, von denen über 24.000 Links tatsächlich den Zugriff auf private und eigentlich geschützte Dateien sowie Ordner ermöglichten. Bei goo.gl waren es immerhin 23 Millionen Links für Google Maps, von denen über 10 Prozent zu tatsächlichen Routing-Informationen führten. So fanden die zwei Forscher nicht nur heraus, dass eine Frau auf der Suche nach einer Einrichtung für eine Familienberatung war, sondern auch wie sie mit vollständigem Namen heißt, wie alt sie ist und wo sie wohnt.

Mit ihrem Experiment bewiesen sie, dass vermeintlich private und nur mit ausgewählten Personen geteilte Daten im Netz sehr wohl von anderen eingesehen werden können, wenn sie einen URL-Shortener verwenden.

Theoretisch könnte man die aus den URL-Shortener generierten Adressen in ihrer vollen Länge rekonstruieren, ein wenig verändern und so auch Zugriff auf nicht freigegebene Daten erhalten. Natürlich nur in der Theorie, wie die Forscher anmerken.

Wer will kann die Forschungsarbeit auch online einsehen. Zum Beispiel über das nachfolgende Sribd-Widget:

Gleiches Ziel, verschiedene Reaktionen

Die Arbeit an ihrem Projekt hatten Georgiev und Shmatikov vor etwa einem Jahr aufgenommen, nachdem sie vermehrt auf diese URL-Shortener von Microsoft und Google gestoßen waren. Interessant ist jedoch, wie Google und Microsoft auf die Mitteilung der Cornell Tech Forscher reagierten.
Beide Unternehmen reagierten relativ schnell, nachdem die Forscher im September 2015 beide Konzerne über ihre Entdeckungen informierten.

Google hat die Praktik mit dem URL-Shortener grundlegend beibehalten, nur das sie seit September 2015 von ursprünglich 11 auf nunmehr 12 Zeichen angehoben wurde. Dadurch potenzieren sich die möglichen Kombinationen Millionenfach, was einen Hacker-Angriff erheblich weniger aussichtsreich macht. Außerdem sind weitere Sicherheitsmaßnahmen eingebaut worden, um das massenhafte Scannen solcher Kurz-URL zu registrieren und automatisch zu blocken.

Microsoft hingegen hatte die Warnungen längere Zeit ignoriert, bevor letzten Monat der URL-Shortener komplett aus der OneDrive-Cloud entfernt wurde. Ändert aber nichts an der Tatsache, dass bereits generierte bit.ly Links auch weiterhin angreifbar bleiben.

[Quelle: Wired]