• IT-Karriere:
  • Services:

Phishing: Feature in Google App Engine hilft Kriminellen

Eine Web-App kann in Googles App Engine unter vielen URLs erreicht werden. Kriminelle nutzen dies für ihre Zwecke.

Artikel veröffentlicht am ,
Alle Wege führen zur gleichen Web-App.
Alle Wege führen zur gleichen Web-App. (Bild: Gerd Altmann/Pixabay)

Auf der Cloudplattform Google App Engine können Web-Apps gehostet werden. Neben legitimen Web-Apps wird der Dienst auch gern von Kriminellen genutzt, um Schadsoftware oder Phishing-Webseiten unter der vertrauenswürdigen Domain Appspot.com mit validem TLS-Zertifikat auszuliefern.

Stellenmarkt
  1. Leopold Kostal GmbH & Co. KG, Lüdenscheid
  2. DMK E-BUSINESS GmbH, Berlin, Potsdam, Chemnitz

Die Funktion, fast beliebig viele gültige Links für ein und dieselbe Web-App oder Phishing-Webseite zu generieren, kommt den Kriminellen dabei sehr entgegen und macht das Filtern mit klassischen Blocklist-Ansätzen schwierig, warnt der Sicherheitsforscher Marcel Afrahim in einem Blogeintrag. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Bei Kriminellen sind Cloudplattformen für Command-and-Control-Server, Phishing oder das Verteilen von Schadsoftware beliebt. Während beispielsweise Microsofts Azure-Dienste eine URL wie https://example-subdomain.app123.web.core.windows.net/... pro Webseite zur Verfügung stellen, haben die Web-Apps bei der Google App Engine etliche URLs nach dem Schema VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.

Eine Subdomain repräsentiert also nicht nur eine Anwendung, sondern auch deren Version sowie einen Dienst- und Instanznamen. Werden die jeweiligen Felder - bis auf den Namen (PROJECT_ID) mit beliebigen Daten befüllt, unter denen jedoch keine Web-App hinterlegt ist, erscheint nicht etwa eine 404-Meldung, sondern die Standardseite der Anwendung. Das als Soft-Routing bezeichnete Konzept führt jedoch dazu, dass eine Web-App oder eben eine Phishing-Seite/Schadsoftware unter fast beliebig vielen Links erreichbar ist.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    17./18. Juni 2021, online
  2. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
Weitere IT-Trainings

Als Beispiel nennt Afrahim zwei URLs, die zwar sehr unterschiedlich aussehen, aber auf dieselbe Web-App verweisen:
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com.

Diese Dynamik in den URLs ist entsprechend schwer zu blockieren. Der Pentester Yusuke Osumi entdeckte kürzlich eine Microsoft-Phishing-Seite, die den von Afrahim beschriebenen Designfehler aktiv ausnutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Digitale Gästelisten
    Woher kommt der Hass auf die Luca-App?
  2. 12-Volt-Batterie
    James May findet Konstruktionsfehler beim Model S
  3. Patentstreit
    Sonos erwirkt Verkaufsverbot für Google-Smartphones
  4. Love, Death & Robots Staffel 2
    Wieder die perfekte Anthologie für Fans des Fantastischen
  5. Warner plant fast 25 Filme und Serien
    Die Zukunft der DC-Helden ist rosig
Anzeige
Hardware-Angebote
  2. (u. a. PS5 + HD Kamera für 549,99€)
Kommentarübersicht
Re: Kein Designfehler
chefin 23. Sep 2020

Es geht nicht um App-Entwickler, sondern um alle die von diesem Dienst nichts wissen...

Folgen Sie uns
       
Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /