Con los dispositivos móviles, es muy común que utilicemos URL abreviadas con Bit.ly para tener que evitar copiar direcciones demasiado largas (o en el caso de tener un límite de caracteres disponible). Sin embargo, parece que podría ser una práctica más peligrosa de lo que creíamos en un principio. Una investigación reciente sobre el sistema para acortar URL más popular, como pueden ser bit.ly y goo.gl podrían haber revelado cómo un atacante tendría acceso a nuestros datos personales desde un disco duro en la nube, todo debido a la modificación de estas direcciones. Estas URL abreviadas, procedentes de Bit.ly o Goo.gl, entre otros (incluso el 1dr.ms de Microsoft), lo que hacen es acortar direcciones muy largas que consisten del nombre del dominio, seguido de algunos caracteres como 5, 6 o 7. Este simple cambio parece tener consecuencias que nadie podía imaginar, pues de acuerdo al estudio es posible escanear las URLs completas por fuerza bruta, debido a los tokens son muy cortos. Como resultado, las URL se convierten en públicas y los hackers pueden ganar acceso a las mismas. Este estudio fue llevado a cabo por Vitaly Shmatikov y Martin Georgiev durante 18 meses, y se centraba en dos servicios en particular: el almacenamiento en la nube de Microsoft, One Drive, y Google Maps.
En estas apps, cuando un usuario quiere compartir un enlace en un documento, carpeta o un mapa con otro usuario, el servicio les ofrece directamente la opción de generar una URL abreviada. El estudio demuestra cómo esto hace que de forma no intencionada, la URL original sea pública y permite que cualquier tenga acceso a información delicada, protegida por las contraseñas de dichos servicios de almacenamiento.
Para demostrarlo, tomaron como ejemplo cerca de 100 millones de URLs de Bit.ly con tokens de seis caracteres escogidos al azar, de los cuales al menos un 42% desveló su URL real. De estos, un impactante número de 19524 de URL llevaba directamente a las carpetas y archivos de OneDrive del usuario.
En cuanto a Google Maps, sus URL acortadas eran mucho más fáciles de encontrar antes de septiembre de 2015 pues la compañía usaba solo tokens de 5 caracteres generados por Maps. Los investigadores descubrieron así cerca de 23 millones de URLs de Google Maps en sus ejemplos, de los cuales cerca de un 10% eran direcciones guardados de un lugar a otro y los sobrantes eran ubicaciones. Esto está asociado a las cuentas de Google de los usuarios, por lo que creaban un agujero de privacidad importante.
El tamaño de los token parece ganar peso
Shmatikov y Georgiev han dicho que ya han informado tanto a Google como Microsoft de este problema, que podría llevar a una brecha de seguridad importante. Mientras que Google respondió inmediatamente y aumentó el tamaño de sus tokens para Maps de 11 a 12 caracteres en las URL, el servicio de respuesta de Microsoft aseguró que no había nada defectuoso y que se trata de un error de diseño.
Sin embargo, esta opción para acortar las URL ya ha desaparecido de la interfaz de OneDrive y los investigadores han dicho que Microsoft negaba que estos cambios tuvieran nada que ver con el informe que ofrecieron. Aún así, todas las URLs abreviadas que se generaron antes siguen siendo un peligro potencial.
Los dos investigaron han asegurado que de momento es mejor evitar servicios como Bit.ly, y sobre todo que cuanto más caracteres tengan estas URLs, más seguras parece.
