دراسة: تقصير الروابط خطير أمنياً

أصدر باحثون أمنيون من جامعة كورنيل التقنية ورقة بحثية عن خدمات تقصير الروابط تم من خلالها دراسة المشاكل الأمنية المحتملة لهذه الخدمات.

وتوصل الباحثون إلى قائمة بنقاط الضعف الخاصة بتلك الخدمة، التي قد تؤدي إلى انتهاك خصوصية المستخدم أو حتى إلى تعرضه لهجمات خبيثة.

ويلجأ الكثير من المستخدمين إلى تقصير الروابط بهدف مشاركتها عبر شبكات التواصل الاجتماعي أو تطبيقات الدردشة، كما تقوم العديد من الشركات على غرار غوغل ومايكروسوفت بتقديم خدمة تقصير الروابط على خدمات التخزين السحابي الخاصة بها وذلك لدى قيام المُستخدم بمشاركة الروابط الخاصة بملفاته مع الآخرين.

ووجدت الدراسة أن شركة مايكروسوفت تعتمد على خدمة تقصير الروابط الخاصة بموقع Bit.ly لتوليد الروابط القصيرة الخاصة بملفات المستخدمين على خدمة التخزين السحابي ون درايف OneDrive، وهذه الروابط تمتلك بنية يمكن توقعها، ما يؤدي بدوره إلى تسهيل عملية النظر في الرابط الخاص بأحد الملفات، ومن ثم استكشاف الملفات الأخرى التي شاركها نفس المستخدم.

وقد تمكن الباحثون اعتماداً على هذه الحيلة من العثور على ملفات تحوي معلومات حساسة، وكانت بعض هذه الملفات مفتوحة للكتابة ما يتيح المجال للمهاجم المفترض حقن الفيروسات والبرمجيات الخبيثة ضمن هذه الملفات بسهولة.

وقال الباحثون إنهم ولدى تفحصهم للروابط القصيرة الخاصة بخدمة خرائط غوغل Google Maps فقد تمكنوا من تحديد المواقع الجغرافية للمستخدمين ووجهاتهم النهائية.

وقد قامت غوغل بالاستجابة سريعاً لدى تلقيها التحذير، وقامت بإضافة احتياطات أمنية منعت من خلالها أي قراصنة محتملين أو برمجيات خبيثة من مسح العنواين القصيرة بحثاً عن الثغرات. أما مايكروسوفت فقد قامت بتعطيل خاصية تقصير الروابط في خدمة ون درايف لدى إعلامها عن الثغرة.

ونوهت الدراسة ببعض الحلول التي يمكن للشركات التي تقدم خدمات تقصير الروابط اتباعها لجعل خدماتها أكثر أمناً. وتتضمن الحلول المقترحة قيام الشركات ببناء خدمة تقصير الروابط الخاصة بها وعدم الاعتماد على الخدمات العامة، واستخدام وسائل الحماية على غرار CAPTCHA لمنع البرمجيات الخبيثة من إجراء عمليات المسح المتكررة على الروابط، وتطوير واجهات برمجية قوية لا تسهل عملية كشف جميع الملفات من خلال رابط واحد.