短網址已經出現超過十年了,第一個主要短網址服務(TinyURL)出現在2002年。為什麼會需要短網址?有幾個很好的理由:
- 有些網址超長而破壞美觀,不好直接顯示在網頁上(例如:出現在報告結尾的引用列表),或是很難輸入,如果無法直接複製貼上的話,且會出現一大堆的破折號、斜線和逗號。
- 像是Twitter等平台對於字數有嚴格的限制,長網址一下子就用掉所有的字數。而短網址只需要較少的字元就可以指向相同的地方。
事實上,Twitter對於短網址的盛行是有決定性的因素,特別是bit.ly,在2009年底已經被使用超過20億次,競爭對手如goo.gl(來自Google)和t.co(Twitter自己所提供,現在貼到Twiiter上的連結都會使用這個服務)也在不久之後出現。
短網址發揮的另一個新領域是雲端服務,如微軟的OneDrive或是地圖服務(如Google Maps)。短網址提供了以上的好處,還加上一定程度的私密性和遮蔽性。
許多完整網址會在一定程度上透露出所指向的資源,短網址用的是隨機字元,所以看不出來是要指到一個敏感的雲端電子表格或是到當地藥局的Google地圖路線,但它們對使用者來說真的安全嗎?
短網址所面臨的新舊安全問題
短網址的遮蔽性在過去一直是個問題,就如趨勢科技的Rik Ferguson在部落格所提過,因為網址本身沒有顯示任何資訊,也就很難分辨是否是指向合法的網站,縮短網址可以混淆目的網站,也成了網路釣魚(Phishing)詐騙的防護罩。
自那時起就出現了許多類似狀況:
- 在2010年,趨勢科技的研究人員發現惡意軟體會利用短網址來在即時通服務傳遞垃圾訊息,像是Yahoo即時通或現已關閉的MSN。
- 在2012年,一隻Skype蠕蟲病毒利用短網址來快速地散播,這網址會指向一個惡意檔案,執行後會讓電腦加入「Botnet傀儡殭屍網路」。
- 在2014年出現了「ACH通知」詐騙郵件,造成一特定gl短網址被大量點擊;這連結會指向一個內藏惡意檔案的ZIP檔。
該注意的是,短網址雖不像那些會實際攻擊系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)、間諜軟體或其他惡意軟體造成那麼多的問題。然而,短網址服務卻是個推手或是安全鏈的脆弱環節不只是因為缺乏透明度,而是越來越造成實際的問題。
暴力破解連到雲端服務的短網址
一年多前,Cornell Tech的研究人員注意到OneDrive和Google地圖有時僅用六個隨機字元來產生bit.ly連結。這代表可能組合的總數僅約略超過20億 – 人類不可能去嘗試所有的組合,但如果有一組強大的CPU就可以辦到。
「有著足夠多的電腦,你可以掃描整個可能範圍,」Cornell Tech電腦專家Vitaly Shmatikov告訴WIRED。「你只要隨機產生網址,看看會連到哪裡。」
許多連結都用在私人用途 – 例如,用來取得放在雲端的個人文件,但實際上沒有那麼的私密,該研究小組產生數百萬可能的 OneDrive bit.ly網址,發現可以真正取得好幾千份檔案。 繼續閱讀