不要被误解:URL 缩短服务被标记为恶意软件

本文最初发表于 2014 年 11 月 6 日。

如果你不能信任Bitly,你能信任谁? 上周,网络公民发现自己陷入了困境 Google Chrome 和 Firefox 开始 阻止访问 到这些流行的链接,声称“目前在 bit.ly 上的攻击者可能会尝试在您的设备上安装用于窃取或删除信息的危险程序”。 这是一个问题,因为大多数 Twitterverse 都依赖于该服务来可靠地缩短链接,并且它经常被用作公司缩小公司 URL 的一种有信誉的方式——看到“.ly”可以让用户对他们的点击产生一定的信心。 这种信心是不是错位了?

小环节,大问题

根据 Bitly 的网站,他们总共缩短了超过 190 亿个链接,每天处理 8000 万个请求。 所以当 Firefox 和 Chrome 浏览器突然发出恶意软件警告,并告诉用户停下来摇头。 还是陌生人? 根据 下一个网络Safari 和 Internet Explorer 没有受到中断的影响。

谷歌声称,在过去 90 天内,Bitly 被列为可疑活动 31 次,在过去三个月中,“669 个页面导致恶意软件在未经用户同意的情况下被下载和安装”。 这是从总共超过 91000 页测试的结果中得出的,结果不到 1%。 关于,当然,但足以关闭所有bit.ly链接的大门?

URL 缩短服务很快在推特上发现了这个问题,并在 bit.ly 停止使用时转而使用 bitly.com。 他们还指出,提供的所有其他服务都可以正常运行——只有免费使用、随处可见的 .ly 链接导致了问题。 他们将矛头指向谷歌的 SafeBrowsing 服务,并表示没有数据或链接被泄露。

咬子弹

Bitly 链接是否含有恶意软件? 确定的答案是也许。 虽然很容易假设这只是谷歌为了某种更大的 Web 控制而进行的争夺,但很明显,至少用户创建的一些链接并不是光明正大的。 Bitly 确实使用来自 Sophos、Websense 和 VeriSign 等独立来源的数据来帮助在创建 Bitlink 之前评估它们的可信度,但恶意行为者要潜入粗略扫描无法检测到的恶意软件并不是那么困难。 当然,您可以在 Bitly 链接的末尾添加“+”并获得预览页面,但大多数用户不会打扰。

同样值得注意的是,Bitly 本身是 早在五月就妥协了 — 在员工帐户被黑后,攻击者可以访问用户名、密码和公司的源代码。 发现漏洞后,所有用户登录凭据都被重置,公司启用了双因素身份验证,但重点是:即使是链接缩短网站也是有吸引力的黑客目标。 不难想象为什么。 如果恶意行为者获得了对公司 Bitly 帐户的访问权限,他们可能会开始发布带有恶意软件重定向的缩短链接。 用户对被黑公司和 Bitly 服务的熟悉度使这些 Bitlinks 成为完美的载体:在这里,安全性是假设的,而不是经过测试的。

点击的呼唤

用户喜欢点击链接——只要网站做出声明,我们就需要证据。 如果发生新闻事件,我们需要视频。 Bitly 利用了这种点击的警笛声,并创建了一个简单的服务,以一致的格式提供 URL 缩短,从而让用户对链接之外的任何内容充满信心。 尽管由于攻击报告量少,谷歌可能过于热心地阻止对 bit.ly 链接的访问,但教训仍然存在:你真的知道点击之后发生了什么吗? 仅仅因为它有一个“.ly”就安全吗?

也许。 但您也有可能会进入受骗页面或提示下载“关键”软件更新。

Surf smart:在打开之前使用 URL Unshortener 之类的东西检查您的链接。 如有疑问,请勿点击!