Aggiornato il: 20-02-2020 22:59
Una singolare questione è stata lanciata dai ricercatori di sicurezza informatica Vitaly Shmatikov e Martin Georgiev, dopo uno studio di 18 mesi che ha portato alla stesura di un paper abbastanza approfondito (link) sul tema degli URL shortner. Servizi cloud utilizzati da noi tutti, e che servono soprattutto per rendere più maneggevoli gli URL lunghi, favorirne la condivisione su social network, chat ed email preservandoci anche da eventuali errori in fase di copia e, non ultimo, monitorare il numero di click che l’indirizzo riceve.
In breve, il problema sarebbe di questa natura: qualora venissero usati per condividere dati relativi ad URL riservati o accessibili via credenziali (username e password), permetterebbero di accedere ad informazioni private semplicemente scansionando tutte le combinazioni possibili di URL breve. In molti casi, si nota nel rapporto, tali indirizzi sono troppo semplici da prevedere e generare in tutte le combinazioni possibili.
Il problema basilare è che questi servizi – bit.ly e goo.gl, tra quelli considerati – spesso vengono usati semplicemente male, e siccome sono anche piuttosto corte come stringhe (per definizione!) sono facili da testare in tutte le combinazioni, mettendo spesso in evidenza documenti riservati. In primis, quindi, gli URL shortner non andrebbero mai usati per condividere dati privati o che non avremmo piacere ad esporre in pubblico. In secondo luogo, la ricerca evidenzia la possibilità di iniettare remotamente del malware su alcuni di questi servizi, in modo che i virus vengano direttamente scaricati dai destinatari dell’URL manipolato. Come se non bastasse, i due ricercatori evidenziano la presenza di informazioni che possono essere usate per fare fingerprinting, ovvero identificare utenti e le loro eventuali visite a cliniche mediche, prigioni e siti per adulti.
Tra i servizi considerati, riportati per intero nell’articolo originale, si fa notare come OneDrive ad esempio permettesse, fino a qualche giorno fa, il path traversal dei suoi URL, ovvero la possibilità di svelare a tentativi documenti e dati privati postati da altri utenti ignari. Se Microsoft ha preso provvedimenti Google non è stata da meno, dato che ha aumentato da 11 a 12 caratteri la dimensione delle stringhe hash usate per identificare locazioni di Google Maps relative ad un singolo utente.
L’analisi è utile ed interessante ma, in linea di massima, l’utente medio non dovrebbe fare nulla di particolare: basta ricordare di evitare al massimo di condividere dati o informazioni riservate mediante URL shortner, ed eventualmente rimuovere o cambiare posizione di propri file riservati condivisi in passato sul web.
