Google: Eine Regex gegen die Domain-Validierung

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

Artikel veröffentlicht am ,
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden.
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden. (Bild: FABRICE COFFRINI/AFP via Getty Images)

Der Sicherheitsforscher und Hacker David Schütz beschreibt in seinem Blog recht ausführlich eine von ihm gefundene Sicherheitslücke in der Domain-Validierung von Google-Diensten. Wie Schütz schreibt, habe er die Lücke mit kleinem Beispielcode ausnutzen können. Der Forscher hätte darüber zum Beispiel den API-Key für Google-Cloud-Dienste eines Opfers erhalten können - nur durch den Klick auf einen Link.

Stellenmarkt
  1. IT-Architektin (m/w/d)
    Techniker Krankenkasse, Hamburg
  2. DevOps Engineer (m/w/d)
    Friedrich PICARD GmbH & Co. KG, Bochum
Detailsuche

Schütz ist aufgefallen, dass bestimmte API-Funktionen des Dienstes über eine eigene App in einem Iframe ausgeführt werden. Der Hacker wollte diese App schließlich auf seiner eigenen Webseite einbetten und so die zwischen App und Dienst übertragenen Daten abgreifen. Das gelang letztlich auch durch eine Sicherheitslücke, die Schütz über viele verschiedene Schritte aufgefunden hat.

Ursache für den Fehler ist wie erwähnt eine fehlerhafte Domain-Validierung seitens Google, die durch einen ebenfalls fehlerhaften regulären Ausdruck (Regex) ausgelöst wird. Konkret wird dabei das Zeichen \ als Ende des Authority-Teils einer Domain vom Browser akzeptiert. In der Regex zur Domain-Validierung in der App selbst fehlt dies jedoch, so dass Schütz seine eigene Domain einer weiteren Domain voranstellen konnte, die Google über eine Whitelist akzeptiert.

Der Hacker hat herausgefunden, dass der Fehler nicht nur in der Google-Cloud-API auftritt, sondern darüber hinaus auch in vielen weiteren Google-Diensten genutzt wird. Das Unternehmen hat den Fehler bestätigt, Schütz für das Melden mit einer Bug-Bounty honoriert und den Fehler letztlich in seiner Javascript-Bibliothek behoben.

Lücke aus Internetstandard

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Interessant daran ist darüber hinaus, dass die Javascript-Bibliothek Open Source ist und zumindest auf Github offenbar von einer Vielzahl weiterer Projekte genutzt wird. Sofern diese ihre Abhängigkeit nicht aktualisieren, könnten diese Projekte also von ähnlichen Problemen betroffen sein.

Hinzu kommt, dass der Fehler offenbar auf den IETF-Standard RFC 3986 zurückzuführen ist, worauf Nutzer etwa in der Diskussion auf Hackernews hinweisen. Im Anhang der dort spezifizierten URI-Syntax findet sich eine beispielhafte Regex, der ebenfalls das Zeichen \ fehlt, um den Authority-Teil der URI zu beenden. Auch deshalb ist davon auszugehen, dass der von Schütz beschriebene Fehler auch bei anderen Diensten auftreten könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Xbox-Plattform
Microsoft wettet auf Starfield als Systemseller

E3 2021 Es kam, was kommen musste: Nach der Bethesda-Übernahme erscheint Starfield exklusiv für Xbox-Systeme statt auch für die Playstation 5.
Eine Analyse von Marc Sauter

Xbox-Plattform: Microsoft wettet auf Starfield als Systemseller
Artikel
  1. Elektro-Mobilität: Curtiss stellt E-Motorrad ab 90.000 US-Dollar vor
    Elektro-Mobilität
    Curtiss stellt E-Motorrad ab 90.000 US-Dollar vor

    Das Curtiss One ist ein aufsehenerregendes Elektromotorrad mit starkem Design und Retro-Charme. Preiswert ist das Bike nicht.

  2. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

  3. Trådfri: Doom läuft auf einer Ikea-Lampe
    Trådfri
    Doom läuft auf einer Ikea-Lampe

    Nicola Wrachien hat es geschafft, Doom auf einer Ikea-Trådfri-Lampe zum Laufen zu bringen. Etwas Zusatzhardware war aber erforderlich.

ibsi 10. Mär 2020

Regex ja, aber Kreuzworträtsel sind so das letzte was ich mache :D Schade, grundsätzloch...

thomas.pi 10. Mär 2020

Welchen über welches Regex sprichts Du? Es gibt Implementierungen, mit denen man fast...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /