Dass die von URL-Shortenern wie Bit.ly oder Goo.gl angebotenen Kurz-URLs gewisse Risiken haben, ist nicht neu. Ein Problem ist etwa, dass nicht ohne Weiteres sichtbar ist, wohin der gekürzte Link führt. Forscher des Jacobs-Technions-Instituts der Cornell Universität im US-Bundestaat New York haben jetzt in einer Studie weiterführende Sicherheitsrisiken dargelegt. Demnach können die Kurz-URLs zum Ausspionieren persönlicher Daten oder zum Verbreiten von Schadsoftware in der Cloud genutzt werden.

Die Studienautoren Martin Georgiev und Vitaly Shmatikov haben im Rahmen der Studie nach eigenen Angaben unzählige Dokumente einsehen können, die eigentlich nicht für eine Veröffentlichung vorgesehen sein dürften, berichtet heise online. Weil die gekürzten Links aus nur wenigen Buchstaben bestünden, ließen sie sich besonders leicht mittels sogenannter Brute-Force-Suchen scannen, heißt es in der Studie.

Betroffen seien Cloud-Speicher-Anbieter wie Microsofts OneDrive oder Kartendienste wie Google Maps. Diese würden Links automatisch kürzen, um die Zusammenarbeit etwa zwischen Teammitgliedern zu erleichtern. Bei OneDrive ist es den Forschern eigenen Angaben nach gelungen, vertrauliche Dokumente zu öffnen, außerdem hätten sie auch Schadsoftware verbreiten können. Microsoft sei schon vor über einem Jahr über die Sicherheitslücke informiert worden, hätte aber nicht reagiert.

Ebenfalls eine Möglichkeit, über die Kurz-URLs an private Daten zu gelangen, seien Links zu Google Maps. Sensible Ziele wie Kliniken für Krebs- oder Suchtbehandlungen, aber auch Hafteinrichtungen und Bordelle, hätten die Forscher bestimmten Nutzern zuordnen können.

via www.heise.de