Google: Eine Regex gegen die Domain-Validierung

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

Artikel veröffentlicht am ,
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden.
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden. (Bild: FABRICE COFFRINI/AFP via Getty Images)

Der Sicherheitsforscher und Hacker David Schütz beschreibt in seinem Blog recht ausführlich eine von ihm gefundene Sicherheitslücke in der Domain-Validierung von Google-Diensten. Wie Schütz schreibt, habe er die Lücke mit kleinem Beispielcode ausnutzen können. Der Forscher hätte darüber zum Beispiel den API-Key für Google-Cloud-Dienste eines Opfers erhalten können - nur durch den Klick auf einen Link.

Schütz ist aufgefallen, dass bestimmte API-Funktionen des Dienstes über eine eigene App in einem Iframe ausgeführt werden. Der Hacker wollte diese App schließlich auf seiner eigenen Webseite einbetten und so die zwischen App und Dienst übertragenen Daten abgreifen. Das gelang letztlich auch durch eine Sicherheitslücke, die Schütz über viele verschiedene Schritte aufgefunden hat.

Ursache für den Fehler ist wie erwähnt eine fehlerhafte Domain-Validierung seitens Google, die durch einen ebenfalls fehlerhaften regulären Ausdruck (Regex) ausgelöst wird. Konkret wird dabei das Zeichen \ als Ende des Authority-Teils einer Domain vom Browser akzeptiert. In der Regex zur Domain-Validierung in der App selbst fehlt dies jedoch, so dass Schütz seine eigene Domain einer weiteren Domain voranstellen konnte, die Google über eine Whitelist akzeptiert.

Der Hacker hat herausgefunden, dass der Fehler nicht nur in der Google-Cloud-API auftritt, sondern darüber hinaus auch in vielen weiteren Google-Diensten genutzt wird. Das Unternehmen hat den Fehler bestätigt, Schütz für das Melden mit einer Bug-Bounty honoriert und den Fehler letztlich in seiner Javascript-Bibliothek behoben.

Lücke aus Internetstandard

Interessant daran ist darüber hinaus, dass die Javascript-Bibliothek Open Source ist und zumindest auf Github offenbar von einer Vielzahl weiterer Projekte genutzt wird. Sofern diese ihre Abhängigkeit nicht aktualisieren, könnten diese Projekte also von ähnlichen Problemen betroffen sein.

Hinzu kommt, dass der Fehler offenbar auf den IETF-Standard RFC 3986 zurückzuführen ist, worauf Nutzer etwa in der Diskussion auf Hackernews hinweisen. Im Anhang der dort spezifizierten URI-Syntax findet sich eine beispielhafte Regex, der ebenfalls das Zeichen \ fehlt, um den Authority-Teil der URI zu beenden. Auch deshalb ist davon auszugehen, dass der von Schütz beschriebene Fehler auch bei anderen Diensten auftreten könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Nachfolger von CS GO
Counter-Strike 2 ist geleakt

Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

Nachfolger von CS GO: Counter-Strike 2 ist geleakt
Artikel
  1. SAP Event Mesh: Eventbasierte Anwendungen in der SAP-Welt
    SAP Event Mesh
    Eventbasierte Anwendungen in der SAP-Welt

    Eventbasierte Architektur in SAP-Systemen, ganz ohne Vendor Lock-in: Der Service SAP Event Mesh ist attraktiv, hat aber auch seine Grenzen.
    Ein Deep Dive von Volker Buzek

  2. Namensgebung extrem: Audis mit geraden Zahlen sind künftig Elektroautos
    Namensgebung extrem
    Audis mit geraden Zahlen sind künftig Elektroautos

    Audi wirft sein bisheriges Namensschema um und will Fahrzeugen mit Elektroantrieb gerade Nummern verpassen. Das könnte Kunden verwirren.

  3. KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
    KI im Programmierertest
    Kann GPT-4 wirklich Code schreiben?

    GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
    Ein Erfahrungsbericht von Tyler Glaiel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Crucial SSD 1TB/2TB (PS5) bis -50% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /