Onderzoekers van de Cornell Tech-universiteit hebben uitgevonden dat de verkorte url’s (webadressen) die Google en Microsoft gebruiken gevoelig kunnen zijn voor misbruik. De onderzoekers hebben miljoenen adressen afgestruind om tot deze conclusie te komen.
Het was de onderzoekers opgevallen dat diensten gebruik maken van verkorte webadressen met slechts zes tekens, dat betekent dat het mogelijk is om gewoon willekeurig wat adressen te raden. Google en Microsoft delen deze adressen echter ook uit voor hun online diensten om documenten of bestanden/mappen te delen. Hierdoor stuitte de onderzoekers ook op Google Drive en OneDrive omgevingen die semi-publiekelijk toegankelijk zijn en waar aanpassingen in gedaan konden worden of zelfs bestanden konden worden geupload. Als deze omgevingen vervolgens gesyncroniseerd worden op pc’s en smartphones zijn deze op afstand mogelijk te infecteren.
Het is allemaal een beetje vergezocht en het is ook lastig om een specifiek persoon te achterhalen, al kan je door verkorte urls die naar Google Maps linken, best nog wat te weten komen over iemand. Feit blijft echter dat je met een flinke omweg mensen kan infecteren.
De onderzoekers hebben hun bevindingen gedeeld met de techgiganten en Google heeft op 15 september het aantal tekens al vergroot naar 11 of 12 tekens, waardoor het raden veel moeilijker is geworden. Microsoft heeft ervoor gekozen om de optie te deactiveren. Wel is het zo dat oude bestaande urls nog steeds actief zijn en nog misbruikt kunnen worden.
In totaal werden er zo’n 71 miljoen url’s onderzocht die zouden kunnen linken naar OneDrive, daarvan waren ernog 24.000 actief en bij zeven procent konden er ook aanpassingen worden gedaan. Ook werden er 23 miljoen adressen onderzocht die naar Google Maps leiden en 10 procent daarvan leidt ook echter naar een routebeschrijving van iemand anders.