• IT-Karriere:
  • Services:

Phishing: Feature in Google App Engine hilft Kriminellen

Eine Web-App kann in Googles App Engine unter vielen URLs erreicht werden. Kriminelle nutzen dies für ihre Zwecke.

Artikel veröffentlicht am ,
Alle Wege führen zur gleichen Web-App.
Alle Wege führen zur gleichen Web-App. (Bild: Gerd Altmann/Pixabay)

Auf der Cloudplattform Google App Engine können Web-Apps gehostet werden. Neben legitimen Web-Apps wird der Dienst auch gern von Kriminellen genutzt, um Schadsoftware oder Phishing-Webseiten unter der vertrauenswürdigen Domain Appspot.com mit validem TLS-Zertifikat auszuliefern.

Stellenmarkt
  1. Leopold Kostal GmbH & Co. KG, Lüdenscheid
  2. DMK E-BUSINESS GmbH, Berlin, Potsdam, Chemnitz

Die Funktion, fast beliebig viele gültige Links für ein und dieselbe Web-App oder Phishing-Webseite zu generieren, kommt den Kriminellen dabei sehr entgegen und macht das Filtern mit klassischen Blocklist-Ansätzen schwierig, warnt der Sicherheitsforscher Marcel Afrahim in einem Blogeintrag. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Bei Kriminellen sind Cloudplattformen für Command-and-Control-Server, Phishing oder das Verteilen von Schadsoftware beliebt. Während beispielsweise Microsofts Azure-Dienste eine URL wie https://example-subdomain.app123.web.core.windows.net/... pro Webseite zur Verfügung stellen, haben die Web-Apps bei der Google App Engine etliche URLs nach dem Schema VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.

Eine Subdomain repräsentiert also nicht nur eine Anwendung, sondern auch deren Version sowie einen Dienst- und Instanznamen. Werden die jeweiligen Felder - bis auf den Namen (PROJECT_ID) mit beliebigen Daten befüllt, unter denen jedoch keine Web-App hinterlegt ist, erscheint nicht etwa eine 404-Meldung, sondern die Standardseite der Anwendung. Das als Soft-Routing bezeichnete Konzept führt jedoch dazu, dass eine Web-App oder eben eine Phishing-Seite/Schadsoftware unter fast beliebig vielen Links erreichbar ist.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    17./18. Juni 2021, online
  2. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
Weitere IT-Trainings

Als Beispiel nennt Afrahim zwei URLs, die zwar sehr unterschiedlich aussehen, aber auf dieselbe Web-App verweisen:
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com.

Diese Dynamik in den URLs ist entsprechend schwer zu blockieren. Der Pentester Yusuke Osumi entdeckte kürzlich eine Microsoft-Phishing-Seite, die den von Afrahim beschriebenen Designfehler aktiv ausnutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)

chefin 23. Sep 2020

Es geht nicht um App-Entwickler, sondern um alle die von diesem Dienst nichts wissen...


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /