استفاده از کوتاه‌کنندهٔ لینک می‌تواند شما را در معرض حملات بدافزارها قرار دهد


کوتاه‌کننده‌های لینک به منظور کوتاه کردن لینک‌هایی به کار می‌روند که می‌خواهید در وبلاگ، شبکه‌های اجتماعی و پیام‌رسان‌ها به اشتراک بگذارید اما طی تحقیقاتی که دو پژوهشگر طی 18 ماه مطالعه انجام دادند، مشخص شد که کوتاه کردن لینک‌ها ممکن است ریسک امنیتی بزرگی نیز برای شما ایجاد کند!

Vitaly Shmatikov به همراه Martin Georgiev، متدهای کوتاه کردن URL را بررسی کردند که مایکروسافت در اپ ذخیره‌سازی ابری OneDrive و گوگل در Google Map خود به کار می‌برد و نتیجه‌ای که به دست آوردند نگران‌کننده بود به طوری که آن‌ها متوجه شدند مایکروسافت از سرویس Bitly برای تولید لینک‌های کوتاه به فایل‌های کاربران OneDrive استفاده می‌کند که این سرویس از فرآیندی قابل‌پیش‌بینی استفاده می‌کند به طوری که از آن طریق بررسی آدرس کامل یک فایل و سپس یافتن مابقی فایل‌های اشتراک‌گذاری شده توسط آن کاربر خاص را آسان می‌کند (جالب اینجا است که نتیجهٔ این تحقیق فقط منتهی به پیدا کردن فایل‌هایی حاوی اطلاعات حساس نشد، بلکه مشخص شد امکان ایمپورت کردن بدافزار به آن فایل‌‌ها نیز وجود دارد.)

وقتی لینک‌های گوگل‌مپ را بررسی می‌کردند، این دو محقق متوجه شدند که می‌توان لینک‌های دارای تُوکن‌های حاوی ۵ کاراکتر را اسکن نمود و موقعیت و مقصد افراد را مشاهده کرد. شاید فکر کنید که به این وسیله فقط می‌توان به اطلاعات تصادفی دسترسی پیدا کرد، ولی آن‌ها موفق شدند چیزهایی مثل مسیرهای جستجوشدهٔ یک کاربر از محل اقامت خود به مکان خصوصی شخصی که در نقشه ثبت‌ شده را به همراه نام کامل و سن فرد پیدا کنند.

خوشبختانه بعد از اینکه محققان مشکل را با شرکت‌های مذکور در میان گذاشتند، هر دو سرویس متدهای کوتاه‌کنندهٔ لینک خود را اصلاح کردند. به گفتهٔ آن‌ها، گوگل بلافاصله پاسخ داد و تُوکن‌های 12 کاراکتری را برای لینک‌های نقشه‌اش به کار برد و همچنین یک سیستم محافظتی برای جلوگیری بات‌ها از اسکن لینک‌هایش پیاده‌سازی کرد. 

آیا این آسیب‌پذیری بدین معنا است که باید از کوتاه کردن لینک‌ها دست کشید؟
این محققین معتقدند ساختن لینکی کوتاه به یک فایل، امکان بالقوه‌ای را فراهم می‌کند که آن فایل در معرض دید شخص ثالثی قرار بگیرد اما در عین حال، چند راه برای ایمن‌تر کردن وجود دارد که عبارتند از:

- استفاده از سرویس کوتاه‌کنندهٔ داخلی شرکت به جای سرویس‌های عمومی نظیر Bitly 
- محافظت در برابر بات‌ها برای اسکن لینک‌ها به وسیلهٔ ابزارهایی نظیر CAPTCHA
- توسعهٔ یکسری API قدرتمند که در آن کشف همهٔ فایل‌های اشتراک‌گذاری‌شدهٔ کاربر بوسیلهٔ پیدا کردن یک لینک آسان نباشد

به نظر شما این هشدار چه‌قدر جدی می‌تواند باشد و به غیر از آنچه در این مقاله گفته شد، چه آسیب‌پذیری‌های دیگری را می‌توان شاهد بود؟ نظرات و دیدگاه‌های خود را با دیگر کاربران سکان آکادمی به اشتراک بگذارید.

منبع