URL-shortening: Bezpečnostní rizika
Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: mov_r_0x4h
Datum: 24.3.2009
Hodnocení/Hlasovalo: 1.59/17
Stručný popis služby URL-shortening, kterou nabízí např. TinyURL.com a Bit.ly, možnosti zneužití a obrana.
Úvod
Služba URL-shortening (zkracování), kterou nabízí TinyURL.com a Bit.ly se stává populárním cílem útoků. Po přečtení článku už nejspíš nebudete automaticky klikat na zkrácené URL.
Původně byl proces zkracování URL vyvinut, aby se zabránilo poškození URL v e-mailových zprávách. Narůstající popularita Instant messaging (IM) a Twitter ještě zvýšila používání služby zkracování URL jako TynyURL a Bit.ly, protože např. Twitter má omezení 140 znaků na zprávu a delší odkazy přes něj nelze poslat.
Jak funguje URL-shortening
TinyURL, Bit.ly a další webové stránky poskytující URL zkracování pracují podobně. Vše, co je potřeba:
1. Jít na jednu z uvedených stránek (např. Bit.ly)
2. Zkopírovat URL požadované stránky do příslušného pole
3. Kliknout na tlačítko "Shorten"
4. Stránka vygeneruje zkrácenou URL
Možné phishingové metody
Jako u mnoha jiných aplikací, které jsou užitečné pro normální uživatele, útočníci a spammeři mají sklony k vytěžení těchto služeb ve svůj prospěch. URL zkracování poskytuje útočníkům a spammerům následující možnosti:
1. Povolí spammerům obejít anti-spamové filtry, protože stránky TinyURL.com a Bit.ly jsou automaticky vyhodnoceny jako důvěryhodné.
2. Zabrání i zkušenějším uživatelům v kontrole, zda se nejedná o podezdřelou URL.
3. Přesměruje uživatele na phishing stránky, aby se zmocnil citlivých osobních informací.
4. Přesměruje uživatele na stránky s škodlivým obsahem (Malware).
Jak můžete vidět, je zde mnoho příležitostí ke zneužití, protože oběť nemůže předem vědět, kam daná URL směřuje.
Na obrázku můžete vidět použití phishing mailu s falešným odkazem.
Jak se bránit?
1. TinyURL preview feature
Pro náhled na původní URL, která byla zkrácena službou TinyURL, stačí přejít na stránku
http://www.tinyurl.com/, tam přejít na odkaz "Preview Feature" a poté kliknout na "Click here to enable previews." (je potřeba mít povolené Cookies). Nyní když klikneme na jakoukoliv zkrácenou URL, prohlížeč nejprve přejde na náhled původní URL.
2. Bit.ly preview feature
Bit.ly používá jiné řešení. Vytvořili add-on pro Firefox (
https://addons.mozilla.org/en-US/firefox/addon/10297), který když je nainstalován, tak se při najetí myší na Bit.ly zkrácenou URL otevře okno se zobrazenou původní URL. Tento add-on je ve stále ve fázi vývoje, proto než jej budete moci nainstalovat, musíte se přihlásit/registrovat na mozilla.org.
Autor: Michael Kassner
Zdroj: http://blogs.techrepublic.com.com/security/?p=1044
Překlad: mov_r_0x4h