Skip to content

Das "Erraten" geheimer URLs

Ab und an hat man als Nutzer den Wunsch, ein Dokument, ein Bild oder eine andere Datei mit Freunden, Bekannten oder Kollegen zu teilen. Dafür lassen sich mittlerweile Cloud-Speicherdienste wie Dropbox, Google Drive oder auch Microsofts OneDrive nutzen, die nicht nur Dateien speichern, sondern auch zwischen verschiedenen Rechnern synchronisieren und für Dritte abrufbar machen können. Zumindest früher war es hingegen üblich (und ist vielleicht auch jetzt noch hier und da verbreitet), einfach den eigenen Webspace für diese Zwecke zu nutzen, also die Datei hochzuladen und den Adressaten die URL bzw. den Link mitzuteilen.

Security by obscurity

Gar nicht so selten wurde dabei - und wird auch weiterhin bei den Cloud-Diensten - darauf gesetzt, dass schon niemand den richtigen Dateinamen wird erraten können, so dass auf Zugriffskontrollen (im einfachsten Falle per .htaccess-Datei des Webservers oder vergleichbaren Mechanismen) verzichtet wird. Gerade bei den Cloud-Diensten ist eine Zugriffskontrolle oft auch nur möglich, wenn jeder Nutzer selbst über einen Account bei diesem Dienst verfügt, was nicht immer der Fall ist. Diese Vorgehensweise stellt natürlich ein kalkuliertes Risiko dar, geht aber meistens wohl gut - wenn man die simple Vorsichtsmaßnahme beachtet, seinem Webserver zu verbieten, Verzeichnisinhalte anzuzeigen, und wenn die URL nicht auf irgendeine Weise Dritten - insbesondere einer Suchmaschine - bekannt wird. Letztere Gefahr sollte man nicht unterschätzen; führt bspw. aus dem zu teilenden Dokument ein Hyperlink zu anderen Inhalten, übermittelt der Browser die “geheime” URL in der Regel als Teil des Referer-Headers. Als böse Falle können sich auch Webserver-Zugriffsstatistiken erweisen, die ungeschützt im Netz stehen, oder auch Browser und deren Add-Ins, die zu welchem Zweck auch immer die Adressen der besuchten Webseiten bzw. -dokumente an Dritte übermitteln, oder Proxy-Server, oder ungesicherte WLANs, oder … Insgesamt erscheint das Risiko jedoch überschaubar.

Wirklich problematisch allerdings wird es, wenn die “geheime” URL sich erraten oder durch simples Ausprobieren erreichen lässt. Und dieses Problem haben - prinzipbedingt - die beliebten URL-Verkürzer wie bit.ly, goo.gl und Co.

URL-Shortener und “geheime” URLs

Nicht nur, dass bei deren Nutzung die “geheime” URL jedenfalls an den Betreiber des Verkürzungsdienstes übermittelt wird, ohne Kontrolle, was dieser damit anfängt: gerade die Kürze der generierten “short URLs” erlaubt es, diese - oder einen Teil des entsprechenden Adressraums - einfach auf gut Glück abzusuchen. Genau das haben zwei Forscher von Cornell Tech, einem Campus der Cornell University, getan und die Ergebnisse dann veröffentlicht. Dabei haben sie nicht wahllos gesucht, sondern sich zwei spezielle Anwendungsfälle ausgeguckt: einmal Microsoft OneDrive und einmal Google Maps. Das Ergebnis war erschreckend.

OneDrive

OneDrive ermöglicht es demnach, für einzelne Dateien oder ganze Ordner einen Kurz-Link innerhalb der Domain 1drv.ms generieren zu lassen, unter dem anderen diese Dateien oder Ordner dann aufrufen lassen. Dahinter steht der Dienst von bit.ly, so dass die generierten Kurzlinks auch unter dieser Domain aufrufbar sind. Und die Kurzlinks sind wirklich kurz, nämlich nur 5-7 Zeichen lang. Bei wahllosem Aufruf von 100 Mio. Kurzlinks mit sechs alphanumerischen Zeichen waren immerhin 42% tatsächlich für Weiterleitungen in Gebrauch; knapp 20.000 davon (0,02%) waren tatsächlich - dann ungeschützte - OneDrive-Dateien oder -Verzeichnisse.

Damit nicht genug: nach dem Bericht der Forscher lässt sich aus der Struktur der OneDrive-URLs die URL des Wurzelverzeichnisses des betroffenen Accounts ablesen. Von da aus lassen sich dann alle Dateien abrufen, die mit jedermann oder derselben Gruppe wie die ursprüngliche Datei geteilt wurden. Das führte dann schon zu der 10fachen Anzahl, nämlich über 200.000, Dokumenten, die so abrufbar waren. Ein erneuter Versuch mit 100 Mio. Abrufen von siebenstelligen Kurzlinks führte mit dieser Methode zu insgesamt 1,1 Mio. (!) Dokumenten, auf die die Forscher hätten zugreifen können.

Und, noch schlimmer: rund 7% der entdeckten OneDrive-Verzeichnisse war nicht nur lesend, sondern auch schreibend freigegeben, bot also die Möglichkeit, dort gespeicherte Daten zu verändern oder virenverseuchte Dateien hochzuladen, die dann automatisch auf alle mit dem Account verbundenen Rechner repliziert werden. Ein Alptraum.

Die Forscher geben an, dass Microsofts Security Response Center (MSRC) sich davon allerdings weitgehend unbeeindruckt gezeigt habe; nach einem Mailwechsel, der sich über zwei Monate hinzog, habe man sie im August 2015 beschieden, das geschilderte Verhalten von OneDrive sei so vorgesehen (“by design”) und daher kein Fall für das MSRC. Angeblich unabhängig davon sei aber seit März 2016 die Erzeugung von Kurz-URLs nicht mehr möglich; auch sei die URL-Struktur der Accounts nicht mehr vorhersagbar, so dass es nicht mehr möglich sei, von einer Datei oder einem Verzeichnis aus den gesamten Account zu durchsuchen. Die bisherigen Kurz-URLs seien aber weiter verfügbar.

Google Maps

Auch Google Maps bietet einen URL-Verkürzer für Kartenausschnitte und Navigationsrouten an. Ein zufälliger Abruf von rund 64 Mio. der fünfstelligen Tokens führte zu rund 24 Mio. vorhandenen Zielen; immerhin 10% davon und damit über 2 Mio. waren Routen mit Start und Ziel. Unter den Zielen waren psychiatrische Krankenhäuser und onkologische Fachkliniken, Suchtbehandlungsstellen, Abtreibungskliniken, Gefängnisse und Jugendarrestanstalten, Vergnügungsetablissements und andere Ziele, die die Ersteller dieser Routen - die nicht selten aufgrund des Startpunktes identifizierbar waren - sicherlich nur ungern veröffentlicht gesehen haben würden. So gelang es den Forschern, Name, Adresse und Alter einer jungen Frau zu ermitteln, deren Routenplanung zu einer reproduktionsmedizinischen Einrichtung führte; in einem anderen Fall identifizierte die Vielzahl der gespeicherten Routen, die teilweise zu den Standorten von Geocaches führten, den betreffenden Nutzer als eifrigen Geocacher.

Das Google Security Team immerhin hat auf den Hinweis unverzüglich reagiert. Seit September 2015 werden für Google Maps 11-12stellige “Tokens” erzeugt, und der massenhafte Abruf (“Scan”) bestehender Kurz-URLs wird - sofern als solcher erkennbar - unterbunden.

Fazit

Eigentlich ist all das nicht neu: jedermann weiß, kann wissen oder könnte sich denken, dass einerseits ungeschützte Dateien auch durch Unbefugte abgerufen werden können, wenn sie denn wissen, wo, und dass andererseits kurze URLs leicht “abgegrast” werden können. Dennoch ist dieses Zusammenspiel meines Erachtens doch in seinen Implikationen einigermaßen überraschend - gerade wenn man an das Beispiel Google Maps denkt. Ob wirklich jedem klar ist, der einen Kurzlink zu einer bestimmten Route erstellt, um diese nur mit sich selbst zu “teilen”, wenn er sie noch einmal braucht, dass möglicherweise auch Unbefugte an diese Route gelangen und ggf. Rückschlüsse auf die eigene Person und das soziale Umfeld ziehen können? Ich glaube nicht.

Trackbacks

wusel am : wusel via Twitter

Vorschau anzeigen
RT @Szlauszaf: Netz-Rettung-Recht: Das "Erraten" geheimer URLs https://t.co/NJzkEqSbrP #security

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen