Google App Engine: Redirect-Feature begünstigt Phishing und Malware-Verbreitung

Googles Cloud-Anwendungsplattform App Engine bietet Kriminellen beim Generieren schädlicher Links viel Freiraum, den diese im Zuge aktiver Angriffe auskosten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: whiteMocca/Shutterstock.com)

Von
  • Olivia von Westernhagen

Sicherheitsforscher warnen davor, dass Online-Kriminelle die Cloud-Anwendungsplattform Google App Engine aktiv zum Hosten von Websites missbrauchen, auf denen schädliche Web-Apps lauern. Solche Apps würden etwa zum Phishing (z.B. über gefälschte Login-Formulare), aber auch zum Ausliefern weiterer Malware im Kontext von Command-and-Control-Infrastrukturen missbraucht.

Der Cloud-Service, der eigentlich für das Entwickeln und das anschließende Bereitstellen von Webanwendungen gedacht ist, umfasst ein Feature, das ihn für Gangster besonders attraktiv macht: Es ermöglicht ihnen das Generieren nahezu beliebig vieler gültiger Links im Kontext einer einzigen hinzugefügten App – und damit das unkomplizierte Austricksen von Blacklisting-Mechanismen.

Beim Anlegen jeder neuen App generiert Google App Engine eine neue appspot.com-Subdomain im Format

https://PROJECT_ID.REGION_ID.r.appspot.com

Dienste als Komponenten innerhalb der App bekommen später jeweils eine eigene appspot.com-Subdomain. Diese hat die Struktur

VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

Die neue Subdomain kombiniert also die Version und den Namen des jeweiligen Dienstes mit den vordefinierten statischen IDs für Projekt und Region. Jede neue Version einer Projekt-Komponente bekommt eine entsprechend angepasste URL.

Ein Blogeintrag des Sicherheitsforschers Marcel Afrahim erläutert nun, dass Google App Engine URLs, die auf nicht vorhandene Versionen oder Services verweisen, dank eines "Soft-Routing"-Mechanismus anhand der statischen IDs stets zur ursprünglichen Subdomain des Projekts (PROJECT_ID.REGION_ID.r.appspot.com) – und damit auf eine vorab festlegbare Default-Version der App – umleitet. Dokumentiert ist dies auch im Abschnitt "Soft Routing" der App Engine-Dokumentation.

Für Angreifer bedeutet dies, dass sie – unter Beibehaltung der korrekten IDs – automatisiert fast beliebig viele URLs für jede angelegte App generieren können. Afrahim nennt folgende Beispiel-URLs:

h**ps://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com h**ps://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com,

Beide verweisen aufgrund falscher Versions- und Dienstangaben wieder auf bad-app-2020.ue.r.appspot.com, wo immer dieselbe schädliche App lauert.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Klassische Sicherheits-Tools und -Plugins können diese Angriffsstrategie laut dem Blogeintrag für gewöhnlich nicht erkennen, sondern "sehen" lediglich die SSL-verschlüsselte Verbindung zur vermeintlich vertrauenswürdigen *.appspot.com-Subdomain.

Somit liegt es an den Nutzern, Links zu appspot.com-Subdomains, wie sie laut einem Tweet des Sicherheitsforschers Yusuke Osumi derzeit etwa im Rahmen einer Microsoft-bezogenen Phishing-Kampagne im Umlauf sind, mit einer angemessenen Portion Misstrauen zu begegnen.

Lesen Sie auch

(ovw)