استفاده از کوتاه‌کنندهٔ URL می‌تواند شما را در معرض حملات بدافزارها قرار دهد!

استفاده از کوتاه‌کنندهٔ URL می‌تواند شما را در معرض حملات بدافزارها قرار دهد!

کوتاه‌کننده‌های URL به منظور کوتاه کردن لینک‌هایی به کار می‌روند که می‌خواهید در وبلاگ، شبکه‌های اجتماعی و سرویس‌های پیام‌رسانی به اشتراک بگذارید. طی تحقیقاتی که دو پژوهشگر طی 18 ماه مطالعه انجام داده‌اند، متأسفانه کوتاه کردن لینک‌ها ممکن است ریسک امنیتی بزرگی نیز برای شما ایجاد کند!

Vitaly Shmatikov به همراه Martin Georgiev، متدهای کوتاه کردن URL را بررسی کردند که مایکروسافت در اپ ذخیره‌سازی ابری OneDrive و گوگل در سرویس Maps خود به کار می‌بردند و نتیجه‌ای که به دست آوردند، نگران‌کننده بود!

آنها متوجه شدند که مایکروسافت از سرویس Bitly برای تولید لینک‌های کوتاه به فایل‌های کاربران OneDrive استفاده می‌کند که این سرویس از ساختاری قابل پیش‌بینی استفاده می‌کند. این کار، بررسی آدرس کامل یک فایل و سپس یافتن مابقی فایل‌های اشتراک‌گذاری شده توسط آن کاربر خاص را آسان می‌کند. 

جالب اینجا است که نتیجهٔ این تحقیق فقط پیدا کردن فایل‌های حاوی اطلاعات حساس نبود، بلکه مقدار کمی از این فایل‌ها قابل ویرایش نیز بودند؛ بدین معنی که ممکن بود به راحتی اقدام به وارد کردن بدافزار به آن فایل‌ها نموده و صدمات جبران‌ناپذیری به قربانی زد!

وقتی لینک‌های گوگل مپ را بررسی می‌کردند، این دو محقق متوجه شدند که می‌توان URL‌های دارای تُوکن ۵ کاراکتری را اسکن نمود و موقعیت و مقصد افراد را مشاهده کرد. شاید فکر کنید که به این وسیله فقط می‌توان به اطلاعات تصادفی دسترسی پیدا کرد، ولی آنها موفق شدند چیزهایی مثل مسیرهای جستجو شدهٔ یک کاربر از محل اقامت خود به مکان خانوادگی شخصی که در نقشه ثبت شده را به همراه نام کامل و سن فرد پیدا کنند.

خوشبختانه بعد از اینکه محققان مشکل را با شرکت‌های مذکور در میان گذاشتند، هر دو سرویس متدهای کوتاه‌کنندهٔ لینک خود را اصلاح کردند. به گفتهٔ آنها، گوگل بلافاصله پاسخ داده و تُوکن‌های 12 کاراکتری را برای لینک‌های نقشه‌اش به کار برد و همچنین یک سیستم دفاعی برای جلوگیری بات‌ها از اسکن لینک‌هایش پیاده‌سازی کرد اما مایکروسافت با مهربانی با محققانی که به ایراد در سرویس‌اش اشاره کرده بودند پاسخ نداد. 

آیا این آسیب‌پذیری بدین معنا است که شرکت‌ها باید از کوتاه کردن لینک‌ها دست بکشند؟
شماتیکف اشاره کرد آنها باید به وضوح به کاربران هشدار دهند که ساختن یک لینک کوتاه به یک فایل، امکان بالقوه‌ای را فراهم می‌کند که آن فایل در معرض دید شخص ثالثی قرار بگیرد. در عین حال، چند راه برای ایمن‌تر کردن وجود دارد که عبارتند از:
- استفاده از سرویس کوتاه‌کنندهٔ داخلی شرکت به جای سرویس‌های عمومی نظیر Bitly،
- محافظت در برابر بات‌ها برای اسکن لینک‌ها به وسیلهٔ متدهایی نظیر CAPTCHA
- توسعهٔ APIهای قدرتمند که در آن کشف همهٔ فایل‌های اشتراک‌گذاری شدهٔ کاربر بوسیلهٔ پیدا کردن یک لینک آسان نباشد.

آیا شما هم از سرویس‌های کوتاه‌کنندهٔ لینک استفاده می‌کنید؟ به نظر شما این هشدار چقدر جدی می‌تواند باشد؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

منبع