• IT-Karriere:
  • Services:

Google: Eine Regex gegen die Domain-Validierung

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

Artikel veröffentlicht am ,
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden.
Ein Hacker hat die Domain-Validierung von Google beleuchtet und eine Sicherheitslücke gefunden. (Bild: FABRICE COFFRINI/AFP via Getty Images)

Der Sicherheitsforscher und Hacker David Schütz beschreibt in seinem Blog recht ausführlich eine von ihm gefundene Sicherheitslücke in der Domain-Validierung von Google-Diensten. Wie Schütz schreibt, habe er die Lücke mit kleinem Beispielcode ausnutzen können. Der Forscher hätte darüber zum Beispiel den API-Key für Google-Cloud-Dienste eines Opfers erhalten können - nur durch den Klick auf einen Link.

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. über duerenhoff GmbH, Raum Augsburg

Schütz ist aufgefallen, dass bestimmte API-Funktionen des Dienstes über eine eigene App in einem Iframe ausgeführt werden. Der Hacker wollte diese App schließlich auf seiner eigenen Webseite einbetten und so die zwischen App und Dienst übertragenen Daten abgreifen. Das gelang letztlich auch durch eine Sicherheitslücke, die Schütz über viele verschiedene Schritte aufgefunden hat.

Ursache für den Fehler ist wie erwähnt eine fehlerhafte Domain-Validierung seitens Google, die durch einen ebenfalls fehlerhaften regulären Ausdruck (Regex) ausgelöst wird. Konkret wird dabei das Zeichen \ als Ende des Authority-Teils einer Domain vom Browser akzeptiert. In der Regex zur Domain-Validierung in der App selbst fehlt dies jedoch, so dass Schütz seine eigene Domain einer weiteren Domain voranstellen konnte, die Google über eine Whitelist akzeptiert.

Der Hacker hat herausgefunden, dass der Fehler nicht nur in der Google-Cloud-API auftritt, sondern darüber hinaus auch in vielen weiteren Google-Diensten genutzt wird. Das Unternehmen hat den Fehler bestätigt, Schütz für das Melden mit einer Bug-Bounty honoriert und den Fehler letztlich in seiner Javascript-Bibliothek behoben.

Lücke aus Internetstandard

Interessant daran ist darüber hinaus, dass die Javascript-Bibliothek Open Source ist und zumindest auf Github offenbar von einer Vielzahl weiterer Projekte genutzt wird. Sofern diese ihre Abhängigkeit nicht aktualisieren, könnten diese Projekte also von ähnlichen Problemen betroffen sein.

Hinzu kommt, dass der Fehler offenbar auf den IETF-Standard RFC 3986 zurückzuführen ist, worauf Nutzer etwa in der Diskussion auf Hackernews hinweisen. Im Anhang der dort spezifizierten URI-Syntax findet sich eine beispielhafte Regex, der ebenfalls das Zeichen \ fehlt, um den Authority-Teil der URI zu beenden. Auch deshalb ist davon auszugehen, dass der von Schütz beschriebene Fehler auch bei anderen Diensten auftreten könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. FIFA 20 für 27,99€, Dragon Ball Z Kakarot für 46,89€, Rainbow Six: Siege Deluxe für 8...
  2. (-70%) 2,99€
  3. (-67%) 7,59€

ibsi 10. Mär 2020 / Themenstart

Regex ja, aber Kreuzworträtsel sind so das letzte was ich mache :D Schade, grundsätzloch...

thomas.pi 10. Mär 2020 / Themenstart

Welchen über welches Regex sprichts Du? Es gibt Implementierungen, mit denen man fast...

Kommentieren


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
    •  /