Sowohl Google Drive als auch Microsoft OneDrive ermöglichen Nutzern Kurz-URLs zu generieren, um Inhalte zu teilen. Sicherheitsforschern ist es gelungen, solche Kurz-URLs zum Ausspionieren der Nutzer zu missbrauchen. Noch brisanter: Über den Ansatz können Cyberkriminelle die Online-Speicher kompromittieren und Malware hochladen.
Anzeige
Die Site wired.com hat das Thema in diesem Artikel aufgegriffen. Bei Cloud-Speichern wie Google Drive oder Microsoft OneDrive kann ich als Nutzer Daten hochladen und über einen Link mit Dritten teilen.
Teilen-Ökonomie auch bei der Cloud
Dabei ermöglichen die Online-Speicher dem Besitzer die Zugriffsberechtigungen für Dritte dediziert (nur lesen, ändern, ändern und löschen, sowie hochladen) zu vergeben. Ein Kennwort als Zugriffsschutz ist dabei i.d.R. nicht vorgesehen – Teilen soll ja einfach sein.
Und um das Ganze komfortabel zu gestalten, bieten diese Dienste Linkverkürzer an. Bei Microsoft OneDrive konnte man früher noch als Benutzer dediziert entscheiden, ob ein Link auf einen Ordner mit langer URL oder verkürzt anzugeben ist. Obiger Screenshot zeigt, dass diese Option nun fehlt – der Benutzer erhält eine nach festem Schema aufgebaute URL mit einem numerischen ResID-Code.
Anzeige
Parasitäre Cyber-Kriminelle können das nutzen
Problem: Einerseits sind ja Kurz-URLs (oder der oben skizzierte ResID-Code) sehr komfortabel, um eine Freigabe auf einen Online-Speicher zum Teilen an Dritte weiterzugeben. Notfalls kann der Betreffende die Kurz-URL auch eintippen. Ich verwende so was beispielsweise in meinen Büchern, um URLs auf Webseiten anzugeben. Benutzer von Online-Speichern können über die betreffenden Links Dritten Zugriff auf die betreffenden Cloud-Inhalte geben. Nur wer den Link kennt, kann auf die Dateien zugreifen – eine Zugangsbegrenzung per Kennwort gibt es ja üblicherweise nicht.
Der Pferdefuß an der ganzen Sache: Cyberkriminelle könnten dies Technik der Linkverkürzer auch verwenden, um sich Millionen Pseudo-Kurz-URLs selbst zu generieren. Dann werden die fiktiven Kurz-URLs per Script ausprobiert, in der Hoffung, auf einen Treffer in der realen Welt zu stoßen. Gibt es Treffer auf Online-Speicher, erhalten die Cyberkriminellen Zugriff auf den Inhalt der "Freigabe".
Sicherheitsforscher von The Cornell Tech haben jetzt genau diesen Ansatz probiert, nachdem sie bemerkten, dass Dienste von Google (Google Maps) und Microsoft (OneDrive) den Dienst Bit.ly (oder ähnliche Algorithmen) zur Linkverkürzung verwenden. Mit wenigen Computern sei es den Sicherheitsforschern gelungen, den gesamten "Adressraum" der genannten Online-Speicher abzuscannen. Von 71 Millionen fiktiven Kurz-URLs wurden 24.000 Treffer bei OneDrive gefunden. Problem: Viele Nutzer denken, dass die Ordner mit den Freigaben "privat seien". Und noch schlimmer: 7 % der Treffer verwiesen auf Ordner und Dateien, die änderbar waren. Damit wäre es ein Leichtes, Malware auf die betreffenden Freigaben dieser Online-Dienste hochzuladen und diese gemäß den vorgefundenen Dateien zu benennen. Weitere Details finden sich in diesem englischsprachigen Artikel.
Online-Speicher sind potentiell als kompromittiert anzusehen
Fazit: Ordner auf Onlinespeichern, die mit Kurzlinks arbeiten und keine Kennwörter für eine Zugriffskontrolle bereitstellen, sind als kompromittiert zu betrachten. Wenn man so etwas nutzt, sollte man tunlichst keine Rechte zum Bearbeiten bereitstellen.
Nachtrag: Bei heise.de gibt es noch diesen Artikel, der sich mehr mit der Analyse von Google Maps-Verläufen befasst.
Anzeige