Kurz-URLs von Clouddiensten geben persönliche Dateien preis

Betroffen sind Kurz-URLs von Drittanbietern wie Bit.ly und auch die eigenen Angebote der Cloudprovider. Zu kurze URL-Tokens erlauben es, die ursprünglichen URLS zu erraten. Im Test erzielen Sicherheitsforscher eine Trefferquote von mehr als 40 Prozent.

Forscher der Cornell Tech University haben herausgefunden, dass Hacker Kurz-URLs von Clouddiensten benutzen können, um auf persönliche Informationen wie Dateien oder sogar Navigationsanweisungen zuzugreifen. Ihrem Forschungsbericht (PDF) zufolge sind die für die verkürzten Links benutzten Tokens zu klein. Ein Angreifer könnte so die tatsächliche URL der freigegebenen Dateien erraten, was es jedem erlauben würde, auf die Dateien zuzugreifen – und nicht nur die Personen, für die sie bestimmt waren.

Cloud (Bild: Shutterstock/Epsicons)Am Beispiel des Kurz-URL-Diensts Bit.ly, der Tokens mit 6 Stellen verwendet, erläutern die Forscher ihren Angriff. Von 100 Millionen zufällig generierten Tokens, die sie mit 189 Rechnern bei Bit.ly abgefragt haben, erzielten sie rund 42,2 Millionen Treffer, sprich gültige URLs. „Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden“, heißt es in dem Bericht.

Das Problem betrifft aber nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten verteilt werden, sondern auch die eigenen Kurz-URLs der Cloudprovider. Hier nennen die Forscher als Beispiel von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps ergaben demnach eine Trefferquote von 37,5 Prozent.

Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain „ondrive.live.com“ und auf weitere 16.521 Dateien und Ordner unter der Domain „skydrive.live.com“. Jeder der 189 Clients entdeckte pro Tag durchschnittlich 43 gültige OneDrive-URLs. Um alle OneDrive/Skydrive-URLs aufzudecken, würde ein Client etwa 245.000 Tage benötigen. „Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden“, so die Forscher weiter.

WEBINAR

Webinaraufzeichnung: Server-Modernisierung als Chance für KMUs

Dank der kontinuierlichen Weiterentwicklung von Intel® Xeon® Prozessoren sind aktuelle Server deutlich leistungsfähiger als ihre Vorgängermodelle. Unternehmen können durch die Investition in neue Server Kosten senken sowie Leistung und Effizienz steigern.

Microsoft wusste den Forscher zufolge schon seit Mai 2015 von der Schwachstelle. Der Softwarekonzern strich schließlich im März die Funktion zur Generierung von Kurz-URLs für OneDrive, nach eigenen Angaben jedoch nicht aufgrund von Sicherheitsbedenken.

Google informierten die Forscher über das Datenleck im Zusammenhang mit Kurz-URLs für Google Maps im September. Google habe schon eine Woche später die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs deutlich erschwere, ergänzten die Forscher.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit 14 Fragen auf ITespresso.

Themenseiten: Datendiebstahl, Google, Microsoft, Privacy, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Kurz-URLs von Clouddiensten geben persönliche Dateien preis

Kommentar hinzufügen
  • Am 18. April 2016 um 11:05 von Iiro W.

    Ich verstehe den Artikel nicht ganz: Es gibt Nutzer, die über Clouddienste Daten per Link freigeben, d.h. jeder mit diesem Link kann diese Daten einsehen/herunterladen. Und über Bit.ly generierte Links, die auf diese öffentlich zugänglichen Daten verweisen, können mit etwas Aufwand herausgefunden werden.

    Was genau ist jetzt die Schwachstelle? Ich mein, die Daten sind ÖFFENTLICH per Link abrufbar, dann kann doch das Abrufen keine Schwachstelle sein? o.O Eine Schwachstelle wäre es, wenn die Dateien für bestimmte, eingeloggte Nutzer freigegeben werden und auch anaonyme Besucher die Dateien anschauen könnten – aber das scheint ja nicht der Fall zu sein.

    • Am 18. April 2016 um 12:16 von PeerH

      M.E. ist die Idee dahinter die, dass es zu viele Möglichkeiten für die URLs gibt, als dass sie erraten werden könnten. Dadurch kann dann eben durch einfaches raten eine zwar öffentliche, aber nur für dedizierte Nutzer gedachte Seite, für Dritte einsehbar werden.
      Es sollte klar sein, dass man eh keine intimen/wichtigen Informationen hochlädt, sofern kein Passwordschutz besteht. Aber wenn man nicht ganz konsequent ist, kann man eben Pech haben.
      Mit größeren/längeren Tokens ließe sich das Risiko erheblich reduzieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *