Araştırmacılar Kısa URL’leri Kırmayı Başardı

Araştırmacılar Kısa URL’leri Kırmayı Başardı

Uzun URL’leri bir kaç karakterli hale getirmek normal kullanıcılar için ne kadar rahat ise, hackerlar için de kırmayı bir o kadar kolaylaştırıyor.

Cornell Tech firması araştırmacılarının yayınladığı makalede Google, Microsoft ve Bit.ly gibi firmalara bir çok ders çıkartılmış durumda. Araştırmacılar brute force saldırısı ile bir kaç karakterli kısa url linklerine birçok bilgisayar üzerinden girerek arkalarında uzun url ve içerik olarak neler olduğuna bakılabildiğini belirtiyorlar.

Bir buçuk seneden beri çalışmalarını sürdüren güvenlik araştırmacıları Microsoft OneDrive ve Google Maps gibi Bit.ly url kısaltma servisini kullanan bazı uygulamaların sadece altı karakter ile bunu yaptıklarını fark etmişler.

Rastgele 71 milyon url üreterek deneyen araştırmacılar 24.000 aktif OneDrive linkine ulaşmışlar. Buradan dosyaları okumak dışında kullanıcı gibi dosya yüklemenin de mümkün olabildiğini söylüyorlar.

Google Maps’de ise durum belki biraz daha ciddi, çünkü aynı mantıkla güzergah verisi içeren linklerin bir ucu genellikle ev yada iş adreslerini ifşa ediyor.

Konu ile ilgili Google, 6 yerine 11 ya da 12 karakterli kısa url kullanmayı ve otomatik url taramaya karşı koruma mekanizması geliştirmeyi uygun bulurken Microsoft, url kısaltma özelliğini tamamen devre dışı bırakmış durumda.

Leave a Reply