Attenzione agli accorciatori di Url: potrebbero diventare vettori di malware o mettere a rischio la sicurezza o la privacy. I servizi per abbreviare gli indirizzi sono molto usati e sono molto comodi: permettono di trasformare Url lunghissimi in brevi sequenze di caratteri, facilmente condivisibili. Gli Url shortener si utilizzano nei blog, nei siti Web, nei social network e, internamente, anche in diversi servizi Internet. L’indirizzo di questa pagina, per esempio, può essere abbreviato da https://www.pcprofessionale.it/news/sicurezza-abbreviazioni-degli-url al più breve https://bit.ly/1p4586n.
Capita che gli Url shortener, come dicevamo, possano essere usati anche internamente a un servizio, in modi di cui non l’utente non ha la consapevolezza, magari nel dialogo tra sistemi diversi.
C’è una ricerca, per certi versi inquietante, svolta dalla Cornell Tech sui metodi di abbreviazione utilizzate da grandi aziende informatiche per i propri servizi Web.
Il primo nome che appare nella ricerca è quello di Microsoft e del suo servizio di cloud OneDrive; il secondo nome è nientedimeno che Google con il servizio Maps. E l’elenco è abbastanza lungo.
La software house di Seattle utilizza per OneDrive il servizio Bitly per abbreviare i propri Url. Ciò che hanno notato i ricercatori è che lo schema di abbreviazione è matematicamente prevedibile: una volta compreso l’algoritmo è possibile, una volta ottenuto l’Url di un documento condiviso, individuare gli altri documenti condivisi dallo stesso utente. Stando alle ricerche della Cornell Tech alcuni documenti individuati non solo sono accessibili lettura ma possono anche essere modificati. In questo modo potrebbero diventare ottimi vettori di malware o di codice di attacco per altri sistemi.
La situazione di Google Maps non è molto diversa in termini di sicurezza. Decifrando l’algoritmo di abbreviazione non è necessario molto tempo di elaborazione per individuare potenzialmente la posizione dell’utente che ha compiuto una ricerca o perlomeno il tragitto che ha studiato su Maps.
Cornell Tech si è comportata in maniera ottimale rispettando l’etichetta della sicurezza: prima di pubblicare i risultati della propria ricerca ha contattato le software house interessate informandole della vulnerabilità . Google ha immediatamente cambiato lo schema di abbreviazione degli Url di Google Maps, elevandone sensibilmente la complessità , mentre Microsoft si dice non abbia accolto col sorriso le segnalazioni dei ricercatori ma ha comunque silenziosamente disabilitato le opzioni di abbreviazione degli Url di OneDrive nel corso di questo mese. Ufficialmente da Microsoft dicono che questa scelta non è legata alla segnalazione dei ricercatori. Qualunque sia la verità è rassicurante sapere che le contromisure sono state prese.