Una singolare questione è stata lanciata dai ricercatori di sicurezza informatica Vitaly Shmatikov e Martin Georgiev, dopo uno studio di 18 mesi che ha portato alla stesura di un paper abbastanza approfondito (link) sul tema degli URL shortner. Servizi cloud utilizzati da noi tutti, e che servono soprattutto per rendere più maneggevoli gli URL lunghi, favorirne la condivisione su social network, chat ed email preservandoci anche da eventuali errori in fase di copia e, non ultimo, monitorare il numero di click che l’indirizzo riceve.
In breve, il problema sarebbe di questa natura: qualora venissero usati per condividere dati relativi ad URL riservati o accessibili via credenziali (username e password), permetterebbero di accedere ad informazioni private semplicemente scansionando tutte le combinazioni possibili di URL breve. In molti casi, si nota nel rapporto, tali indirizzi sono troppo semplici da prevedere e generare in tutte le combinazioni possibili.
Il problema basilare è che questi servizi – bit.ly e goo.gl, tra quelli considerati – spesso vengono usati semplicemente male, e siccome sono anche piuttosto corte come stringhe (per definizione!) sono facili da testare in tutte le combinazioni, mettendo spesso in evidenza documenti riservati. In primis, quindi, gli URL shortner non andrebbero mai usati per condividere dati privati o che non avremmo piacere ad esporre in pubblico. In secondo luogo, la ricerca evidenzia la possibilità di iniettare remotamente del malware su alcuni di questi servizi, in modo che i virus vengano direttamente scaricati dai destinatari dell’URL manipolato. Come se non bastasse, i due ricercatori evidenziano la presenza di informazioni che possono essere usate per fare fingerprinting, ovvero identificare utenti e le loro eventuali visite a cliniche mediche, prigioni e siti per adulti.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l’iscrizione
Tra i servizi considerati, riportati per intero nell’articolo originale, si fa notare come OneDrive ad esempio permettesse, fino a qualche giorno fa, il path traversal dei suoi URL, ovvero la possibilità di svelare a tentativi documenti e dati privati postati da altri utenti ignari. Se Microsoft ha preso provvedimenti Google non è stata da meno, dato che ha aumentato da 11 a 12 caratteri la dimensione delle stringhe hash usate per identificare locazioni di Google Maps relative ad un singolo utente.
L’analisi è utile ed interessante ma, in linea di massima, l’utente medio non dovrebbe fare nulla di particolare: basta ricordare di evitare al massimo di condividere dati o informazioni riservate mediante URL shortner, ed eventualmente rimuovere o cambiare posizione di propri file riservati condivisi in passato sul web.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l’iscrizione
👇 Da non perdere 👇
- Informatica 🖥
- Marketing & SEO 🌪
- monitoraggio servizi online 📈
- Sicurezza & Privacy 👁
- Spiegoni artificiali 🎓
- Svago 🎈
- 💬 Il nostro canale Telegram: iscriviti
- 🟢 Significato di ASD – Wikilost
- 🔴 Cosa si intende per layout?
- 🟢 Come migrare un sito in WordPress