Verkorte URL’s zijn handig, voor gebruikers en misbruikers (afb: artikel onderzoekers)
Onderzoekers van Cornell Tech in de VS denken dat het nieuwe verkorte webadres (URL) van Google en Microsoft is te misbruiken (pdf-bestand) om mensen te bespioneren of erger. Die verkorte webadressen zouden handig zijn voor gebruikers, maar ook voor e-krakers. De onderzoekers zeggen zo gemakkelijk kwaadaardige programmatuur te hebben kunnen verspreiden via de wolkdienst van Microsoft of er via die verkorte URL’s achter te komen wie op Google Maps heeft gezocht naar een abortus- of verslavingskliniek.
De wetenschappers van Cornell begonnen hun onderzoek toen bleek dat diensten van Google en Microsoft (OneDrive, hun wolkdienst) verkorte webadressen van Bit.ly gingen gebruiken, bestaand uit zes ogenschjnlijk willekeurige tekens. Dat is weinig genoeg om een beetje computergek de mogelijkheden te laten afgrazen die verbinden met echte webadressen. “Met een paar machines kun je de hele ruimte afzoeken”, zegt informaticus Vitaly Shmatikov. “Je laat de boel draaien en kijkt wat er achter zit.”
Desondanks behandelden zowel Microsoft als Google de verkorte URL’s van sommige adressen als vrij privé. Privé genoeg om te veronderstellen dat alleen de maker van de koppeling (met het werkelijke webadres van bestanden en mappen) die kende of aan wie de maker dat had toevertrouwd. Volgens de onderzoekers zijn gegevens op het web die worden geacht door een paar mensen gedeeld te worden in feite publiek.
De onderzoekers lieten ook zien hoe het misgaat. Microsoft gebruikte Bit.ly om verkorte URL’s te genereren voor bestanden en mappen die mensen op OneDrive met een aantal mensen willen delen. De onderzoekers lieten de computer meer dan 71 miljoen mogelijke verkorte URL’s genereren. Daarvan bleken er 24 000 echt te bestaan met werkende koppelingen naar bestanden en mappen. De wetenschappers zeggen verder niets onoorbaars te hebben gedaan. 7% van de bestanden en mappen die ze aantroffen was zelfs bewerkbaar voor iedereen die de URL bezoekt. Zo konden de onderzoekers, als ze dat gewild hadden, rommelen met bestanden en mappen, maar er ook malwaar op zetten, dat, lange leve de synchronisering, vaak ook automatisch op de computer van de eigenaar wordt gezet.
Google Maps
Bij Google gaat het om Google Maps. Die dienst gebruikt(e) ook Bit.ly om URL’s te verkorten. De onderzoekers maakten meer dan 23 miljoen verkorte Google Maps-adressen aan en 10% daarvan bleek informatie te bevatten over zoekopdrachten van mensen. Omdat die zoekopdrachten meestal het huisadres bevatten is ook na te gaan waar die zoekopdracht vandaan komt. Meer dan 16 000 van die zoekopdrachten ging om ziekenhuizen, bijvoorbeeld. Ook bij Mapquest, Bing Maps en Yahoo! Maps deed zich dat probleem voor, zij het op kleinere schaal dan bij Google (dat lijkt me logisch gegeven het marktaandeel). De onderzoekers gingen zelfs zo ver een jonge vrouw te ‘identificeren’ die op zoek was naar een gezinsplanningbureau, met naam, adres en leeftijd. Dat hebben ze overigens niet prijsgegeven. “Dat is een aanzienlijk privacylek”, zegt Shmatikov.
Toen de onderzoekers de zaak vorig jaar september aankaartten bij Google, heeft het bedrijf het verkorte webadres uitgebreid tot elf of twaalf tekens en zou het maatregelen genomen hebben om te voorkomen achter de koppeling aan het verkorte webadres te komen. Microsoft, die in mei werd benaderd, zag aanvankelijk geen probleem, maar inmiddels is de mogelijkheid die verkorte URL’s in te stellen in OneDrive toch verdwenen. Dat laat onverlet de bestaande.
Shmatikov waarschuwt voor de verkorte webadressen, zoveel is duidelijk, zowel het publiek als de bedrijven. “Het is niet duidelijk of mensen dit begrijpen. Die denken dat ze document delen met een medewerker, maar door een verkorte URL te delen met hem of haar deel je dat met de hele wereld.”
Bron: Wired