• IT-Karriere:
  • Services:

Phishing: Feature in Google App Engine hilft Kriminellen

Eine Web-App kann in Googles App Engine unter vielen URLs erreicht werden. Kriminelle nutzen dies für ihre Zwecke.

Artikel veröffentlicht am ,
Alle Wege führen zur gleichen Web-App.
Alle Wege führen zur gleichen Web-App. (Bild: Gerd Altmann/Pixabay)

Auf der Cloudplattform Google App Engine können Web-Apps gehostet werden. Neben legitimen Web-Apps wird der Dienst auch gern von Kriminellen genutzt, um Schadsoftware oder Phishing-Webseiten unter der vertrauenswürdigen Domain Appspot.com mit validem TLS-Zertifikat auszuliefern.

Stellenmarkt
  1. Webasto Group, Stockdorf bei München
  2. Bechtle AG, Hamburg

Die Funktion, fast beliebig viele gültige Links für ein und dieselbe Web-App oder Phishing-Webseite zu generieren, kommt den Kriminellen dabei sehr entgegen und macht das Filtern mit klassischen Blocklist-Ansätzen schwierig, warnt der Sicherheitsforscher Marcel Afrahim in einem Blogeintrag. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Bei Kriminellen sind Cloudplattformen für Command-and-Control-Server, Phishing oder das Verteilen von Schadsoftware beliebt. Während beispielsweise Microsofts Azure-Dienste eine URL wie https://example-subdomain.app123.web.core.windows.net/... pro Webseite zur Verfügung stellen, haben die Web-Apps bei der Google App Engine etliche URLs nach dem Schema VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.

Eine Subdomain repräsentiert also nicht nur eine Anwendung, sondern auch deren Version sowie einen Dienst- und Instanznamen. Werden die jeweiligen Felder - bis auf den Namen (PROJECT_ID) mit beliebigen Daten befüllt, unter denen jedoch keine Web-App hinterlegt ist, erscheint nicht etwa eine 404-Meldung, sondern die Standardseite der Anwendung. Das als Soft-Routing bezeichnete Konzept führt jedoch dazu, dass eine Web-App oder eben eine Phishing-Seite/Schadsoftware unter fast beliebig vielen Links erreichbar ist.

Als Beispiel nennt Afrahim zwei URLs, die zwar sehr unterschiedlich aussehen, aber auf dieselbe Web-App verweisen:
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com.

Diese Dynamik in den URLs ist entsprechend schwer zu blockieren. Der Pentester Yusuke Osumi entdeckte kürzlich eine Microsoft-Phishing-Seite, die den von Afrahim beschriebenen Designfehler aktiv ausnutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
In eigener Sache: IT-Trainings zu Infrastruktur-, Development- und Security-Themen mit der Golem Akademie.
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. iPhone 12 und 12 Pro im Test
    Magnetisch, eckig, gut
  2. IT-Profis und Visualisierung
    Sag's in Bildern
  3. Geforce RTX 3070 im Test
    Die vorerst beste 500-Euro-Karte
  4. Bluetooth-Hörstöpsel
    Apple plant neue Airpods ganz ohne Stiel
  5. Vodafone
    Mancher Kunde mit eigenem Router fühlt sich benachteiligt
Anzeige
Hardware-Angebote
  2. täglich neue Deals bei Alternate.de
  4. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Kein Designfehler
chefin 23. Sep 2020 / Themenstart

Es geht nicht um App-Entwickler, sondern um alle die von diesem Dienst nichts wissen...

Kommentieren

Folgen Sie uns
       
Cyberpunk 2077 - Trailer Juni 2020

Ds Spiel soll für alle aktuellen Plattformen im November 2020 erscheinen.

Cyberpunk 2077 - Trailer Juni 2020 Video aufrufen
Monkey Island
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper

    Fahrdienst
    Ausprobiert: Meine erste Strafgebühr bei Free Now
    Ausprobiert
    Meine erste Strafgebühr bei Free Now

    Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
    Ein Praxistest von Achim Sawall

    1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
    2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne
    Corsair
    Corsair K60 RGB Pro im Test: Teuer trotz Viola
    Corsair K60 RGB Pro im Test
    Teuer trotz Viola

    Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
    Ein Test von Tobias Költzsch

    1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
    2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
    3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /