Roubado por seis personagens. Encurtadores de link sucumbem à força bruta

Encurtadores de links como bit.ly , goo.gl e outros geram links com um token de 5, 6 ou 7 caracteres. Como se viu, isso é muito pouco, portanto todo o espaço de endereço pode ser uma força bruta. O professor Vitaliy Shmatikov, da Cornell University of Technology, com um colega, pesquisador independente Martin Georgiev, digitalizou o espaço de endereço dos links encurtados - e encontrou muitos documentos em hospedagem na nuvem .

Parece que isso? Porém, a estrutura previsível de uma URL longa às vezes permite que um documento acesse outros documentos na hospedagem ou, em geral, todos os documentos !

Em particular, até março de 2016, uma estrutura de URL tão longa era hospedada pelo Microsoft OneDrive (descrito abaixo), mas um princípio semelhante pode existir em outros serviços.

Um encurtador de link é incorporado ao OneDrive e a outros serviços em nuvem; portanto, um endereço curto é atribuído automaticamente a cada documento, mesmo com informações confidenciais. Bem, se alguém escolher esse endereço, poderá acessar a conta, editar documentos, implementar o Trojan Downloader, etc.

Os resultados dos 18 meses de trabalho, publicaram os pesquisadores em um relatório .

Como pode ser visto no relatório, os autores se concentraram em duas abreviações incorporadas ao OneDrive e ao Google Maps.

Onedrive

Aqui, o endereço de documentos e pastas são codificados no endereço de domínio 1drv.ms , servido operador Bitly e atribuído o mesmo símbolo, como no bit.ly . Em outras palavras, qualquer verificação de token de bit.ly automaticamente descobertas e endereços 1drv.ms . Durante um rastreamento de teste de 100.000.000 URLs no domínio bit.ly com tokens de 6 caracteres selecionados aleatoriamente, 42% eram URLs ativos. Desses, 19.524 geraram documentos e pastas na hospedagem do OneDrive / SkyDrive. Mas isso não é tudo.

Como se viu, os endereços do OneDrive têm uma estrutura previsível. Conhecendo o URL completo de um documento, você pode construir o URL raiz e acessar automaticamente sua conta, abrir todos os arquivos e pastas.

Por exemplo, com força bruta, você encontrou o URL http://1drv.ms/1xNOWV7 , que resolve https://onedrive.live.com/?cid=485bef1a80539148&id=485BEF1A80539148!115&ithint=folder,xlsx&authkey=!AOOT2TqTTSM . Extraímos os

parâmetros cid e authkey do URL longo , usando o qual construímos o URL raiz da conta: https://onedrive.live.com/?cid=485bef1a80539148&authkey=!AOOp2TqTTSMT5q4 .

Para acessar um documento específico, você precisa encontrar elementos com atributos href no código fonte da página em uma hospedagem em nuvem contendo & app = , & v = , /download.aspx? ou / pesquisa?(esse método em particular parece não funcionar desde março de 2016).



Para procurar outras pastas, você precisa procurar por links que começam com onedrive.live.com e contêm uma conta cid .

Dessa forma, os autores do estudo revelaram outros 227.276 documentos na hospedagem do OneDrive.

Normalmente, cerca de 7% das pastas encontradas estavam abertas para gravação. Não é necessário explicar o que isso significa, dado o quão fácil é ignorar o antivírus OneDrive embutido.

Google maps

Até setembro de 2015, os endereços goo.gl/maps tinham tokens de 5 caracteres. A varredura de uma amostra aleatória revelou 23.965.718 links ativos, dos quais 10% eram mapas com orientações de direção, incluindo hospitais para pacientes com câncer e transtornos mentais, centros para alcoólatras e viciados em drogas, centros de aborto e prisões. Em geral, informações confidenciais. Por exemplo, a rota do centro de aborto para um endereço específico, em princípio, sugere o local de residência de uma pessoa. Se esta é a casa onde uma mulher mora, assuma uma personalidade. Em seguida, faça um mapa com todos os endereços em que esse endereço foi o ponto inicial ou final do movimento. Aqui está um cartão para uma pessoa.

Como as empresas reagiram

Após dois meses de correspondência, os representantes da Microsoft disseram que não consideravam os tokens de força bruta uma vulnerabilidade. No entanto, alguns dos métodos descritos acima pararam de funcionar. Quando os representantes da Microsoft foram contatados novamente, eles negaram que as alterações feitas fossem relevantes para este relatório.

O Google reagiu imediatamente, mudou para tokens de 11 a 12 caracteres e limitou a capacidade de rastrear URLs.

Source: https://habr.com/ru/post/pt393079/