Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Phishing: Feature in Google App Engine hilft Kriminellen

Eine Web-App kann in Googles App Engine unter vielen URLs erreicht werden. Kriminelle nutzen dies für ihre Zwecke.

Artikel veröffentlicht am 22. September 2020, 10:39 Uhr, Moritz Tremmel

Alle Wege führen zur gleichen Web-App. (Bild: Gerd Altmann/Pixabay)

Auf der Cloudplattform Google App Engine können Web-Apps gehostet werden. Neben legitimen Web-Apps wird der Dienst auch gern von Kriminellen genutzt, um Schadsoftware oder Phishing-Webseiten unter der vertrauenswürdigen Domain Appspot.com mit validem TLS-Zertifikat auszuliefern.

Die Funktion, fast beliebig viele gültige Links für ein und dieselbe Web-App oder Phishing-Webseite zu generieren, kommt den Kriminellen dabei sehr entgegen und macht das Filtern mit klassischen Blocklist-Ansätzen schwierig, warnt der Sicherheitsforscher Marcel Afrahim in einem Blogeintrag. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Bei Kriminellen sind Cloudplattformen für Command-and-Control-Server, Phishing oder das Verteilen von Schadsoftware beliebt. Während beispielsweise Microsofts Azure-Dienste eine URL wie https://example-subdomain.app123.web.core.windows.net/... pro Webseite zur Verfügung stellen, haben die Web-Apps bei der Google App Engine etliche URLs nach dem Schema VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.

Eine Subdomain repräsentiert also nicht nur eine Anwendung, sondern auch deren Version sowie einen Dienst- und Instanznamen. Werden die jeweiligen Felder - bis auf den Namen (PROJECT_ID) mit beliebigen Daten befüllt, unter denen jedoch keine Web-App hinterlegt ist, erscheint nicht etwa eine 404-Meldung, sondern die Standardseite der Anwendung. Das als Soft-Routing bezeichnete Konzept führt jedoch dazu, dass eine Web-App oder eben eine Phishing-Seite/Schadsoftware unter fast beliebig vielen Links erreichbar ist.

Als Beispiel nennt Afrahim zwei URLs, die zwar sehr unterschiedlich aussehen, aber auf dieselbe Web-App verweisen:
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com.

Diese Dynamik in den URLs ist entsprechend schwer zu blockieren. Der Pentester Yusuke Osumi entdeckte kürzlich eine Microsoft-Phishing-Seite, die den von Afrahim beschriebenen Designfehler aktiv ausnutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Re: Kein Designfehler

chefin 23. Sep 2020

Es geht nicht um App-Entwickler, sondern um alle die von diesem Dienst nichts wissen...

Artikel

Candy Crushed

Royal Match wird profitabelstes Mobile Game

Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.
Datenschutz

ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.
Donald E. Knuth

30 Jahre Weihnachtsvorlesungen frei verfügbar

Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#