Vai al contenuto

Gli URL shortner possono provocare problemi di privacy?

17335527468 c9a160c52a omg

Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

Aggiornato il: 20-02-2020 22:59
Una singolare questione è stata lanciata dai ricercatori di sicurezza informatica Vitaly Shmatikov e Martin Georgiev, dopo uno studio di 18 mesi che ha portato alla stesura di un paper abbastanza approfondito (link) sul tema degli URL shortner. Servizi cloud utilizzati da noi tutti, e che servono soprattutto per rendere più maneggevoli gli URL lunghi, favorirne la condivisione su social network, chat ed email preservandoci anche da eventuali errori in fase di copia e, non ultimo, monitorare il numero di click che l’indirizzo riceve.

In breve, il problema sarebbe di questa natura: qualora venissero usati per condividere dati relativi ad URL riservati o accessibili via credenziali (username e password), permetterebbero di accedere ad informazioni private semplicemente scansionando tutte le combinazioni possibili di URL breve. In molti casi, si nota nel rapporto, tali indirizzi sono troppo semplici da prevedere e generare in tutte le combinazioni possibili.

Il problema basilare è che questi servizi – bit.ly e goo.gl, tra quelli considerati – spesso vengono usati semplicemente male, e siccome sono anche piuttosto corte come stringhe (per definizione!) sono facili da testare in tutte le combinazioni, mettendo spesso in evidenza documenti riservati. In primis, quindi, gli URL shortner non andrebbero mai usati per condividere dati privati o che non avremmo piacere ad esporre in pubblico. In secondo luogo, la ricerca evidenzia la possibilità  di iniettare remotamente del malware su alcuni di questi servizi, in modo che i virus vengano direttamente scaricati dai destinatari dell’URL manipolato. Come se non bastasse, i due ricercatori evidenziano la presenza di informazioni che possono essere usate per fare fingerprinting, ovvero identificare utenti e le loro eventuali visite a cliniche mediche, prigioni e siti per adulti.

Tra i servizi considerati, riportati per intero nell’articolo originale, si fa notare come OneDrive ad esempio permettesse, fino a qualche giorno fa, il path traversal dei suoi URL, ovvero la possibilità  di svelare a tentativi documenti e dati privati postati da altri utenti ignari. Se Microsoft ha preso provvedimenti Google non è stata da meno, dato che ha aumentato da 11 a 12 caratteri la dimensione delle stringhe hash usate per identificare locazioni di Google Maps relative ad un singolo utente.

Ti potrebbe interessare:  Costanti, variabili ed operatori Python: cosa sono e come funzionano (GUIDA)

L’analisi è utile ed interessante ma, in linea di massima, l’utente medio non dovrebbe fare nulla di particolare: basta ricordare di evitare al massimo di condividere dati o informazioni riservate mediante URL shortner, ed eventualmente rimuovere o cambiare posizione di propri file riservati condivisi in passato sul web.

Photo by blondinrikard



Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

cyberpunk 12

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui


Segui il canale Youtube @Tecnocrazia23