Studie zeigt Sicherheits- und Datenschutzrisiken von Kurz-URLs
Die beliebten Kurz-URLs von Google und Co. können leicht zum Ausspionieren persönlicher Daten und fürs Verbreiten von Schadsoftware über Cloud-Dienste genutzt werden, berichten US-Forscher.
- Tim Gerber
Kurz-URLs, wie sie von Diensten wie bit.ly angeboten werden, scheinen nützliche Werkzeuge bei der Nutzung und Weitergabe von Informationen per Internet zu sein. Doch geben Nutzer damit unbeabsichtigt viel mehr private Informationen preis, als ihnen lieb und bewusst sein mag. Zu diesem Schluss kommen Forscher des Jacobs Technions-Instituts der Cornell Universität im US-Bundestaat New York. Wie die Autoren Martin Georgiev und Vitaly Shmatikov in ihrer Studie (PDF) zeigen, lassen die beliebten Short-Links besonders gut scannen, gerade weil sie aus wenigen Buchstaben bestehen. Auf diese Weise fanden die Forscher unzählige private Dokumente, die eher nicht für die Veröffentlichung gedacht gewesen sein dürften.
Im Falle von Cloud-Diensten wie Microsofts OneDrive führe dies nicht nur zur Preisgabe vertraulicher Dokumente, sondern ermögliche sogar das Einschleusen jedweder bösartiger Dokumente über Kontenfreigaben, die dann automatisch auf alle Geräte des Kontoinhabers kopiert werden, heißt es in der Studie. Man habe Microsoft bereits vor einem Jahr über die Sicherheitslücke informiert. Dort bezeichnete man das als „Design“ und sah keinen Grund zur Änderung. Die Abschaltung der Kurz-URLs im vergangenen März habe nichts mit den Hinweisen der New Yorker Forscher zu tun, hieß es von Microsoft.
Als weit offene Spionage-Hintertür erweisen sich der Studie zufolge auch Links zu Zielen auf Kartenservices wie Google Maps. Die Wissenschaftler werteten eine systematische Sammlung von etwa 23 Millionen Links aus. Unter den Treffern fanden sich eine Menge sensibler Ziele etwa Spezialkliniken für Krebsbehandlung und Psychiatrie, Suchtbehandlungszentren, Anbieter von Abtreibungen, Jugendhafteinrichtungen, Pfandleihern und Bordellen. Diese ließen sich über einfache Kreuzkorrelationen mit Daten aus öffentlichen Verzeichnissen einzelnen Benutzern zuordnen. (tig)