QR code per la pagina originale

URL shortening pericoloso per la privacy

Due ricercatori della Cornell University hanno scoperto che gli indirizzi lunghi sei caratteri possono essere generati in modo abbastanza semplice.

,

L’abbreviazione degli URL (URL shortening in inglese) è una tecnica molto utilizzata per ridurre la lunghezza degli indirizzi web. Due ricercatori della Cornell University hanno però evidenziato i pericoli per la privacy associati all’uso di pochi caratteri. Gli hacker possono infatti “decifrare” gli URL brevi e accedere ai dati personali degli utenti o ai file conservati sui servizi di cloud storage. Google e Microsoft hanno già implementato specifiche soluzioni per ridurre i potenziali rischi.

Martin Georgiev e Vitaly Shmatikov hanno scoperto, circa un anno e mezzo fa, che i servizi di URL shortening offerti da Bit.ly, Google e Microsoft usano solo sei caratteri generati casualmente. Un malintenzionato potrebbe usare un software per trovare tutte le possibili combinazioni e accedere ai documenti su Google Drive e OneDrive che dovrebbero essere privati. È sufficiente un computer abbastanza potente per effettuare il brute forcing e spiare l’utente, leggendo i suoi file e altre informazioni sensibili, come i luoghi frequentati durante il giorno.

Nel caso di Microsoft, i ricercatori hanno generato oltre 71 milioni di indirizzi, 24.000 dei quali hanno permesso di accedere a file e cartelle su OneDrive. Dato che alcune cartelle hanno permessi di scrittura, un hacker potrebbe copiare malware sul cloud che verrebbe automaticamente trasferito sul computer dell’utente, grazie alla funzionalità di sincronizzazione. Nel caso di Google, invece, sono stati generati oltre 23 milioni di URL Google Maps, molti dei quali erano indirizzi di abitazioni, ospedali e centri di riabilitazione. I ricercatori sono riusciti anche a scoprire nome, indirizzo ed età di una giovane donna. È quindi evidente l’enorme rischio per la privacy.

Dopo aver ricevuto i risultati dello studio, Google ha incrementato la lunghezza degli indirizzi brevi a 12 caratteri casuali e implementato un sistema che blocca la scansione automatica degli URL. Microsoft, invece, ha inizialmente negato l’esistenza del problema, ma un mese fa ha disattivato il servizio di URL shortening su OneDrive.

Fonte: Wired • Notizie su:
Commenta e partecipa alle discussioni