Cloud-Dienste durch Mängel bei Kurz-URLs angreifbar

CloudCloud-Management

Fehler bei der Erstellung von Kurz-URLs stecken Forschern der Cornell Tech University zufolge sowohl in Angeboten der Cloud-Anbieter als auch in Diensten von Dritter. Zu kurze Token ermöglichen es Angreifern, die für die Freigabe verwendete URL zu erraten. Den Forschern gelang das bei 40 Prozent ihrer Versuche.

Kurz-URLs von Cloud-Diensten könnten es Unbefugten erleichtern, auf dort abgelegte Dateien zuzugreifen. Zu diesem Ergebnis sind Forscher der Cornell Tech University in einer Untersuchung (PDF) gekommen. Ihnen zufolge sind die verwendeten Token oft zu klein. Daher lasse sich die ursprünglich verwendete URL freigegebener Dateien erraten. Damit ist es dann auch möglich, auf diese Dateien zuzugreifen.

Ihre Aussagen untermauerten sie am Beispiel des Kurz-URL-Diensts Bit.ly. Der verwendet Token mit sechs Stellen. Bei ihrem Test fragten die Forscher 100 Millionen Token an, bei rund 42,2 Millionen konnte sie die URL erraten. “Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden”, so die Wissenschaftler. Bei den Diensten zur Erstellung von Kurz-URLs der Cloud-Anbieter haben die Forscher von Google generierte Links zum Kartendienst Google Maps untersucht. Dort konnten sie 37,5 Prozent der dahinterliegenden URLs erraten.

Die Forscher entdeckten so auch über 3000 Links zu Dateien und Ordnern bei Microsofts Cloud-Speicher “ondrive.live.com” sowie über 16.500 Dateien und Ordner auf dem Vorgänger “skydrive.live.com”. Um alle URLs bei OneDrive respektive Skydrive zu erraten, würde ein Client den Forschern zufolge etwa 245.000 Tage benötigen. Sie geben jedoch zu bedenken: “Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden.”

Bit.ly (Grafik: Bit.ly)
Belegt haben die Forscher ihre Aussagen am Beispiel des KUrz-URL-Dienstes Bit.ly (Grafik: Bit.ly)

Microsoft wissen bereits seit Mai 2015 von der Sicherheitslücke. Im März dieses Jahres wurde die Funktion zur Erstellung von Kurz-URLs für OneDrive entfernt. Nach Angaben des Unternehmens waren die Ursache dafür jedoch keine Sicherheitsbedenken. Google wurden von den Forscher über das Problem mit den Kurz-URLs im September informiert. Eine Woche darauf seien die URL-Token auf 11 bis 12 Zeichen verlängert worden. Damit wird es deutlich schwerer die URLs zu erraten.

Im Mai 2015 hatten Wissenschaftler der Technischen Universität Darmstadt und Experten des Fraunhofer-Institut für Sichere Informationstechnologie SIT 56 Millionen ungeschützt Datensätze in Cloud-Datenbanken entdeckt. Es handelte sich dabei um E-Mail-Adressen, Passwörter, medizinische Daten und andere persönliche Informationen. Sie stammten überwiegend von App-Benutzern.

Laut TU Darmstadt verwenden App-Entwickler als Backend-as-a-Service (BaaS) oft Dienste wie Facebooks Parse und Amazons AWS. Allerdings berücksichtigen sie dabei oft die Sicherheitsempfehlungen der Cloud-Anbieter nicht oder setzen sie nicht korrekt um. Außerdem bieten Cloud-Betreiber meist mehrere Authentifizierungsmethoden an. Die schwächste Form ist eine in den App-Code eingebettete Nummer. Die lasse sich von Angreifern jedoch “einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.”

Bereits 2009 hatte Kaspersky vor anderen Risiken von Kurz-URLs gewarnt. Der Sicherheitsanbieter wies damals darauf hin, dass sie in Sozialen Medien für Social Engineering missbraucht werden könnten. Da lediglich die verkürzte Adresse, nicht aber das eigentliche Ziel erkennbar sei, sei es ein Leichtes, so Nutzer auf vermeintlich für sie relevante oder interessante Seiten zu locken, hinter denen sich aber andere, etwa mit Malware infizierte, verbergen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit 14 Fragen auf ITespresso.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen