I servizi per accorciare gli Url, come goo.gl e bit.ly, sono diventati molto popolari in questi anni perché consentono di ottenere risultati pratici, soprattutto all’atto della condivisione dei link con altre persone. Ma, secondo uno studio condotto da due esperti di sicurezza della Cornell Tech di New York, questa comodità potrebbe nascondere aspetti inquietanti. I ricercatori, dopo 18 mesi di analisi, hanno infatti scoperto che link composti da soli cinque, sei o sette caratteri sotto forma di token sarebbero molto più facilmente individuabili (e sfruttabili) dagli hacker, rispetto alle infinite sequenze di lettere e numeri che compongono abitualmente gli Url di servizi popolari sul Web, come Google Maps o le piattaforme di cloud storage.
Secondo Vitaly Shmatikov e Martin Georgiev, i pirati informatici potrebbero facilmente avere accesso alle risorse a cui fanno riferimento i collegamenti “brevi” adottando il metodo forza bruta, con cui potrebbero decifrare in poco tempo la localizzazione dei contenuti condivisi. I due ricercatori si sono concentrati soprattutto sui link di Maps e di Onedrive, il cloud storage di Microsoft, esaminando circa cento milioni di Url accorciati a sei caratteri tramite bit.ly.
Gli esperti, utilizzando 189 macchine separate, hanno scandagliato le Api di ricerca del servizio online, eseguendo poi una scansione analoga sui domini ridotti a sette caratteri. In questo modo, i due hanno potuto identificare circa 23 milioni di Url riconducibili a Google Maps, di cui circa il 10 per cento aveva registrato informazioni di viaggio tra una località e un’altra, collegate all’account di Big G dell’utente che aveva accorciato l’indirizzo.
Fonte: "Gone in six characters short Urls considered harmful for cloud services", Georgiev-Shmatikov
Consci del pericolo, i due ricercatori hanno informato Google già l’anno scorso e il colosso di Mountain View ha prontamente attenuato il rischio portando a 11 o 12 caratteri il numero di caratteri “tokenizzati” per Maps, invece dei precedenti cinque. Ma il risultato più inquietante dello studio è un altro. Gli esperti sono riusciti a mettere le mani su quasi ventimila Url che portavano direttamente nel cuore degli account Onedrive/Skydrive di migliaia di utenti Microsoft, con il 7 per cento di cartelle archiviate sulla nuvola che consentivano addirittura la scrittura di qualsiasi tipo di file.
“Dal momento in cui i file memorizzati in cloud sono automaticamente copiati e sincronizzati anche sui computer e sui dispositivi mobili (se gli utenti prevedono questa opzione, ndr), la possibilità di accedere alle risorse locali può portare all’iniezione automatizzata e su larga scala di malware”, hanno scritto Shmatikov e Georgiev nel report finale dell’indagine, disponibile a questo indirizzo Web.
A differenza di Google, però, Microsoft ha minimizzato la portata del rischio e ha attribuito il problema a un errore di design del servizio. Però, a marzo 2016, l’opzione di accorciamento degli Url è completamente sparita da Onedrive ma Redmond, secondo i ricercatori, ha negato qualsiasi collegamento tra questa scelta e le evidenze dello studio. Tutti i link esaminati dalla coppia universitaria, comunque, rimangono ancora oggi esposti e dunque vulnerabili.