短網址所面臨的新舊安全問題

短網址已經出現超過十年了,第一個主要短網址服務(TinyURL)出現在2002年。為什麼會需要短網址?有幾個很好的理由:

  • 有些網址超長而破壞美觀,不好直接顯示在網頁上(例如:出現在報告結尾的引用列表),或是很難輸入,如果無法直接複製貼上的話,且會出現一大堆的破折號、斜線和逗號。
  • 像是Twitter等平台對於字數有嚴格的限制,長網址一下子就用掉所有的字數。而短網址只需要較少的字元就可以指向相同的地方。

事實上,Twitter對於短網址的盛行是有決定性的因素,特別是bit.ly,在2009年底已經被使用超過20億次,競爭對手如goo.gl(來自Google)和t.co(Twitter自己所提供,現在貼到Twiiter上的連結都會使用這個服務)也在不久之後出現。

短網址發揮的另一個新領域是雲端服務,如微軟的OneDrive或是地圖服務(如Google Maps)。短網址提供了以上的好處,還加上一定程度的私密性和遮蔽性。

許多完整網址會在一定程度上透露出所指向的資源,短網址用的是隨機字元,所以看不出來是要指到一個敏感的雲端電子表格或是到當地藥局的Google地圖路線,但它們對使用者來說真的安全嗎?

短網址所面臨的新舊安全問題

短網址的遮蔽性在過去一直是個問題,就如趨勢科技的Rik Ferguson在部落格所提過,因為網址本身沒有顯示任何資訊,也就很難分辨是否是指向合法的網站,縮短網址可以混淆目的網站,也成了網路釣魚(Phishing)詐騙的防護罩。

自那時起就出現了許多類似狀況:

該注意的是,短網址雖不像那些會實際攻擊系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)、間諜軟體或其他惡意軟體造成那麼多的問題。然而,短網址服務卻是個推手或是安全鏈的脆弱環節不只是因為缺乏透明度,而是越來越造成實際的問題。

暴力破解連到雲端服務的短網址

一年多前,Cornell Tech的研究人員注意到OneDrive和Google地圖有時僅用六個隨機字元來產生bit.ly連結。這代表可能組合的總數僅約略超過20億 – 人類不可能去嘗試所有的組合,但如果有一組強大的CPU就可以辦到。

「有著足夠多的電腦,你可以掃描整個可能範圍,」Cornell Tech電腦專家Vitaly Shmatikov告訴WIRED。「你只要隨機產生網址,看看會連到哪裡。」

許多連結都用在私人用途 – 例如,用來取得放在雲端的個人文件,但實際上沒有那麼的私密,該研究小組產生數百萬可能的 OneDrive bit.ly網址,發現可以真正取得好幾千份檔案。

此外,只要小幅調整完整的網址(載入網頁後取得),可以找到更多跟受影響檔案或帳號有關的資訊,有些文件甚至可以進行編輯。這種與雲端平台的結合所造成的另一種風險是可能用極快而巨大的規模散播惡意軟體。

像是OneDrive等雲端服務提供跨多個平台的同步功能,你可以在手機上更改一個文件,只需要一兩秒的時間這些變動將會反應到你的電腦或平板上。這代表將一個惡意檔案上傳到一個雲端帳戶後,可以很快地進入某人的電腦,因為許多服務都提供桌面同步功能。

而地圖服務(不只是Google地圖,還有Mapquest等其他服務)的短網址也很可能被濫用。它們可能揭露出起點,終點和實際的方向,可能讓身份竊賊發現別人的地址或電話號碼。

防範短網址詐騙 

雲端、地圖和電子郵件服務的使用者該如何來防範短網址?有些肯定已經超出控制了;服務廠商應該使用更長而無法被暴力破解的連結,而有一些廠商也已經這麼做了。

除此之外,還可以採取以下措施:

  • 收到任何不尋常而包含短網址的電子郵件時要小心。有些服務像是gl可以修改短網址,在結尾加上/info/來連到相應的Google分析網頁並看到原本的網址為何。
  • 下載.zip或來源不明的類似檔案類型時要小心,使用系統上的防毒軟體或其他防禦機制來檢視這些檔案,查看是否有內藏惡意軟體。
  • 如果你在企業工作,基於雲端安全基礎設施所提供即時威脅分析的安全服務可以主動保護你的資產,保護你的網路。

務必要小心這些短網址,對眼前的威脅保持警覺能夠幫助企業保護自己的雲端資產。

 

@原文出處:Are shortened URLs safe? 作者:Christopher Budd(全球威脅交流)

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數