🛀🏼 🤟 👦🏾 Volé pour six personnages. Les raccourcisseurs de liens succombent à la force brute 🌞 👨🏼‍💼 👱

Les raccourcisseurs de liens comme bit.ly , goo.gl et d'autres génèrent des liens avec un jeton de 5, 6 ou 7 caractères. Il s'est avéré que c'était trop peu, donc tout l'espace d'adressage peut être une force brute. Le professeur Vitaliy Shmatikov de l'Université de technologie de Cornell avec un collègue, le chercheur indépendant Martin Georgiev, a analysé l'espace d'adressage des liens raccourcis - et a trouvé de nombreux documents sur l'hébergement cloud .

Il semblerait que cela? Mais il s'est avéré que la structure prévisible d'une URL longue permet parfois à un document d'accéder à d'autres documents sur l'hébergement ou, en général, à tous les documents !

En particulier, jusqu'en mars 2016, une structure d'URL aussi longue était hébergée par Microsoft OneDrive (décrite ci-dessous), mais un principe similaire pourrait s'appliquer à d'autres services.

Un raccourcisseur de liens est intégré à OneDrive et à d'autres services cloud, de sorte qu'une adresse courte est automatiquement attribuée à chaque document, même avec des informations sensibles. Eh bien, si quelqu'un récupère cette adresse, il peut accéder au compte, modifier des documents, implémenter le téléchargeur de chevaux de Troie, etc.

Les résultats du travail de 18 mois, les chercheurs ont publié dans un rapport .

Comme le montre le rapport, les auteurs se sont concentrés sur deux abréviations intégrées à OneDrive et Google Maps.

Onedrive

Ici, l'adresse des documents et des dossiers sont codés dans l'adresse de domaine 1drv.ms , servi opérateur Bitly et attribué le même ordre d' idées, que sur le bit.ly . En d'autres termes, tout scan de jeton bit.ly trouvera automatiquement les adresses 1drv.ms également . Au cours d'une analyse test de 100 000 000 d'URL dans le domaine bit.ly avec des jetons de 6 caractères sélectionnés au hasard, 42% étaient des URL actives. De ce nombre, 19 524 ont conduit à des documents et des dossiers sur l'hébergement OneDrive / SkyDrive. Mais ce n’est pas tout.

Il s'est avéré que les adresses OneDrive ont une structure prévisible. Connaissant l'URL complète d'un document, vous pouvez créer l'URL racine et accéder automatiquement à votre compte, ouvrir tous les fichiers et dossiers.

Par exemple, avec la force brute, vous avez trouvé l'URL http://1drv.ms/1xNOWV7 , qui se résout en https://onedrive.live.com/?cid=485bef1a80539148&id=485BEF1A80539148!115&ithint=folder , xlsx& authkey = ! AOOp2TqTTS .

Nous extrayons les paramètres cid et authkey de l'URL longue , à l'aide de laquelle nous construisons l'URL racine du compte: https://onedrive.live.com/?cid=485bef1a80539148&authkey=!AOOp2TqTTSMT5q4 .

Pour accéder à un document spécifique, vous devez trouver des éléments avec des attributs href dans le code source de la page sur un hébergement cloud contenant & app = , & v = , /download.aspx? ou / enquête?(cette méthode particulière ne semble pas fonctionner depuis mars 2016).

Pour rechercher d'autres dossiers, vous devez rechercher des liens commençant par onedrive.live.com et contenant un compte cid .

De cette façon, les auteurs de l'étude ont révélé 227 276 documents supplémentaires sur l'hébergement OneDrive.

En règle générale, environ 7% des dossiers trouvés étaient ouverts pour l'enregistrement. Pas besoin d'expliquer ce que cela signifie, étant donné la facilité avec laquelle il est possible de contourner l'antivirus OneDrive intégré.

Google maps

Jusqu'en septembre 2015, les adresses goo.gl/maps avaient des jetons de 5 caractères. L'analyse d'un échantillon aléatoire a révélé 23965718 liens actifs, dont 10% se sont révélés être des cartes avec des itinéraires, y compris vers des hôpitaux pour patients atteints de cancer et de troubles mentaux, des centres pour alcooliques et toxicomanes, des centres d'avortement et des prisons. En général, des informations sensibles. Par exemple, l’itinéraire entre le centre d’avortement et une adresse précise suggère en principe le lieu de résidence d’une personne. Si c'est la maison où vit une femme, alors adoptez une personnalité. Ensuite, faites une carte avec toutes les adresses où cette adresse était le point de départ ou d'arrivée du mouvement. Voici une carte pour une personne.

Comment les entreprises ont-elles réagi

Après deux mois de correspondance, les représentants de Microsoft ont déclaré qu'ils ne considéraient pas les jetons de bruteforce comme une vulnérabilité. Cependant, certaines des méthodes décrites ci-dessus ont cessé de fonctionner. Lorsque les représentants de Microsoft ont été contactés à nouveau, ils ont nié que les modifications apportées étaient pertinentes pour ce rapport.

Google a réagi immédiatement, est passé à des jetons de 11 à 12 caractères et a limité la capacité d'exploration des URL.

Volé pour six personnages. Les raccourcisseurs de liens succombent à la force brute

Onedrive

Google maps

Comment les entreprises ont-elles réagi

More articles: