قائد الطوفان قائد الطوفان

دراسة: خدمات تقصير الروابط ليست آمنة

صورة أرشيفية
صورة أرشيفية

وكالات- الرسالة نت

وجدت دراسة لباحثين أمنيين من جامعة كورنيل التقنية أن خدمات تقصير الروابط تملك نقاط ضعف قد تؤدي إلى انتهاك خصوصية المستخدم أو حتى تعرضه لهجمات خبيثة.

ويلجأ الكثير إلى تقصير الروابط بهدف مشاركتها عبر شبكات التواصل أو تطبيقات الدردشة، كما تقوم العديد من الشركات على غرار غوغل ومايكروسوفت بتقديم خدمة تقصير الروابط على خدمات التخزين السحابي الخاصة بها لدى مشاركة المستخدم الروابط الخاصة بملفاته مع الآخرين.

وقالت الدراسة إن مايكروسوفت تعتمد على خدمة تقصير الروابط الخاصة بموقع "Bit.ly" لتوليد الروابط القصيرة لملفات المستخدمين على خدمة التخزين السحابي "ون درايف". وهذه الروابط تمتلك بنية يمكن توقعها، مما يؤدي إلى تسهيل عملية النظر في رابط أحد الملفات، ومن ثم استكشاف الملفات الأخرى التي تمت مشاركتها من قبل نفس المستخدم.

وقد تمكن الباحثون -اعتمادا على هذه الحيلة- من العثور على ملفات تحتوي معلومات حساسة، وكانت بعض هذه الملفات مفتوحة للكتابة مما يتيح المجال للمهاجم المفترض حقن الفيروسات والبرمجيات الخبيثة ضمن هذه الملفات بسهولة.

وأضاف الباحثون أنهم -ولدى تفحصهم للروابط القصيرة الخاصة بخدمة خرائط غوغل- تمكنوا من تحديد المواقع الجغرافية للمستخدمين ووجهاتهم النهائية.

وقد استجابت غوغل سريعا لدى تلقيها التحذير من الباحثين حول الضعف بخدمتها الخاصة بتقصير الروابط، وأضافت احتياطات أمنية منعت من خلالها أي قراصنة محتملين أو برمجيات خبيثة من مسح العناوين القصيرة بحثا عن الثغرات. أما مايكروسوفت فقد عطّلت خاصية تقصير الروابط بخدمة "ون درايف" لدى إبلاغها عن الثغرة.

وأشارت الدراسة إلى بعض الحلول التي يمكن للشركات التي تقدم خدمات تقصير الروابط اتباعها لجعل خدماتها أكثر أمنا.

وتتضمن قيام الشركات ببناء خدمة تقصير الروابط الخاصة بها وعدم الاعتماد على الخدمات العامة واستخدام وسائل الحماية على غرار "حروف التحقق" (captcha) لمنع البرمجيات الخبيثة من إجراء عمليات المسح المتكررة على الروابط، وتطوير واجهات برمجية قوية تصعب عملية كشف جميع الملفات من خلال رابط واحد.

البث المباشر