Google App Engine: Redirect-Feature begünstigt Phishing und Malware-Verbreitung

Googles Cloud-Anwendungsplattform App Engine bietet Kriminellen beim Generieren schädlicher Links viel Freiraum, den diese im Zuge aktiver Angriffe auskosten.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge
Google App Engine: Redirect-Feature begünstigt Phishing und Malware-Verbreitung

(Bild: whiteMocca/Shutterstock.com)

Von
  • Olivia von Westernhagen

Sicherheitsforscher warnen davor, dass Online-Kriminelle die Cloud-Anwendungsplattform Google App Engine aktiv zum Hosten von Websites missbrauchen, auf denen schädliche Web-Apps lauern. Solche Apps würden etwa zum Phishing (z.B. über gefälschte Login-Formulare), aber auch zum Ausliefern weiterer Malware im Kontext von Command-and-Control-Infrastrukturen missbraucht.

Der Cloud-Service, der eigentlich für das Entwickeln und das anschließende Bereitstellen von Webanwendungen gedacht ist, umfasst ein Feature, das ihn für Gangster besonders attraktiv macht: Es ermöglicht ihnen das Generieren nahezu beliebig vieler gültiger Links im Kontext einer einzigen hinzugefügten App – und damit das unkomplizierte Austricksen von Blacklisting-Mechanismen.

Beim Anlegen jeder neuen App generiert Google App Engine eine neue appspot.com-Subdomain im Format

https://PROJECT_ID.REGION_ID.r.appspot.com

Dienste als Komponenten innerhalb der App bekommen später jeweils eine eigene appspot.com-Subdomain. Diese hat die Struktur

VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

Die neue Subdomain kombiniert also die Version und den Namen des jeweiligen Dienstes mit den vordefinierten statischen IDs für Projekt und Region. Jede neue Version einer Projekt-Komponente bekommt eine entsprechend angepasste URL.

Ein Blogeintrag des Sicherheitsforschers Marcel Afrahim erläutert nun, dass Google App Engine URLs, die auf nicht vorhandene Versionen oder Services verweisen, dank eines "Soft-Routing"-Mechanismus anhand der statischen IDs stets zur ursprünglichen Subdomain des Projekts (PROJECT_ID.REGION_ID.r.appspot.com) – und damit auf eine vorab festlegbare Default-Version der App – umleitet. Dokumentiert ist dies auch im Abschnitt "Soft Routing" der App Engine-Dokumentation.

Für Angreifer bedeutet dies, dass sie – unter Beibehaltung der korrekten IDs – automatisiert fast beliebig viele URLs für jede angelegte App generieren können. Afrahim nennt folgende Beispiel-URLs:

h**ps://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com h**ps://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com,

Beide verweisen aufgrund falscher Versions- und Dienstangaben wieder auf bad-app-2020.ue.r.appspot.com, wo immer dieselbe schädliche App lauert.

Klassische Sicherheits-Tools und -Plugins können diese Angriffsstrategie laut dem Blogeintrag für gewöhnlich nicht erkennen, sondern "sehen" lediglich die SSL-verschlüsselte Verbindung zur vermeintlich vertrauenswürdigen *.appspot.com-Subdomain.

Somit liegt es an den Nutzern, Links zu appspot.com-Subdomains, wie sie laut einem Tweet des Sicherheitsforschers Yusuke Osumi derzeit etwa im Rahmen einer Microsoft-bezogenen Phishing-Kampagne im Umlauf sind, mit einer angemessenen Portion Misstrauen zu begegnen.

Lesen Sie auch

(ovw)