La inseguridad de los acortadores de URL

Si recuerdan el post sobre XSS de la serie que explica las vulnerabilidades TOP 10 en aplicaciones web de OWASP de este año, en éste les comentábamos los potenciales problemas de seguridad que podían enmascararse con el uso de los extendidos servicios de reducción de tamaño en las URL. Si todavía hoy alguien no los conoce, estos servicios se encargan de reducir el tamaño de una URL determinada a una nueva URL con una longitud predeterminada e inferior, en la que se mapea el enlace de forma que pueda ser utilizado en servicios como twitter que tienen un número limitado de caracteres; el incremento de popularidad de esta “nueva” red social ha hecho que este tipo de servicios se multipliquen como las setas. De esta manera, se facilita el incorporar enlaces largos en entradas de este tipo de servicios.

A modo de ejemplo, una url del tipo:

https://www.securityartwork.es/2010/03/10/owasp-top-10-ii-xss/

Se traduce con uno de estos servicios en:

http://tiny.cc/7rvdi

Desde el punto de vista de la seguridad, el problema de estos servicios es que ocultan completamente la dirección de la página a la que se va a acceder bajo la apariencia de un enlace seguro, permitiendo de este modo a un potencial atacante ocultar tanto el código “incrustado” en la propia URL en forma de parámetros o sentencias complejas, como el potencial destino malicioso de la URL verdadera.

Para que podamos hacernos una idea concreta de la utilización de este tipo de servicios por páginas web con contenido malicioso podemos utilizar los servicios de safebrowsing de Google. Por ejemplo, con el acortador de enlaces tiny URL en la siguiente página web:

http://www.google.com/safebrowsing/diagnostic?site=tinyurl.com/&hl=es

Obtenemos los siguientes datos:

No creo que haga falta explicar mucho la imagen: troyanos, exploits… Un nada despreciable, desde mi punto de vista, 2% de las páginas analizadas contenían algún problema de seguridad, entre los considerados y detectados por el servicio de Google. Por supuesto, esto no significa que no se deba usar los enlaces cortos, o que en cuanto se vea una página con estos enlaces se deba cerrar instantáneamente para evitar ser expuestos. Sin embargo, deben ser utilizados con precaución.

No obstante, existe una alternativa mejor, desde mi punto de vista, que consiste en aprovechar una extensión de Firefox denominada LongUrlPlease, cuya funcionalidad consiste en localizar las url de cerca de 80 servicios que se encargan de realizar la reducción de longitud y convertir en el navegador del usuario el enlace mostrado por su correspondiente enlace destino, tal y como se muestra en la imagen siguiente:

De esta forma, se obtienen los beneficios esperados del uso de los acortadores y las ventajas de seguridad que permiten conocer el destino de los enlaces antes de seguirlos.

Comments

  1. ¿Existe alguna solución para otros navegadores cómo Chrome, IE o Safari?

  2. David Monteagudo says

    No conozco excesivamente el uso de las extensiones en los navegadores que comentas, pero la longurlplease, dispone, además de un plugin para firefox de un bookmarklet que me imagino se podrá utilizar en otro navegador.
    Además, el API es público, por lo que si no existen estas extensiones cualquiera se puede animar a desarollar su propia extensión para el navegador.

  3. bit.ly permite acortar una url y tambien obtener la url original en base a una ya acortada con la misma herramienta.

  4. David Monteagudo says

    Zerial la ventaja del uso de la extensión es que dispones automáticamente de 80 servicios acortadores y que en la página que visitas no se visualiza el enlace corto sino el largo.
    Si tienes 1 enlace puede ser que prefieras ir a la página del acortador para comprobar dónde va dirigido, pero si tienes 10, es mejor, desde mi punto de vista, tener algo automático que lo haga por ti.

Trackbacks

  1. […] La inseguridad de los acortadores de URL http://www.securityartwork.es/2010/04/06/la-inseguridad-de-los-acor…  por MarketingPositivo hace 3 segundos […]

  2. Social comments and analytics for this post…

    This post was mentioned on Twitter by Securityartwork: David Monteagudo comenta los riesgos de los acortadores de URL: http://bit.ly/dmieSm (el enlace es seguro, tranquilos :)…

  3. […] La inseguridad de los acortadores de URL […]

  4. […] La inseguridad de los acortadores de URL (vía Security Art Work) […]

  5. […] permite comodidades para el que publica mensajes en una red social, pero para el receptor de estos conlleva un peligro, que eventualmente se nos quiera jugar una broma pesada, que nos estén metiendo un […]

  6. […] han pasado un artículo de SecurityArtWork muy interesante sobre lo inseguras que pueden ser las URL acortadas que se usan en Twitter y otras […]

  7. […] permiten conocer el destino de los enlaces antes de seguirlos. Autor:  David Monteagudo Fuente: Security Art Work y […]