Original-URL des Artikels: https://www.golem.de/news/phishing-feature-in-google-app-engine-hilft-kriminellen-2009-151011.html    Veröffentlicht: 22.09.2020 10:39    Kurz-URL: https://glm.io/151011

Phishing

Feature in Google App Engine hilft Kriminellen

Eine Web-App kann in Googles App Engine unter vielen URLs erreicht werden. Kriminelle nutzen dies für ihre Zwecke.

Auf der Cloudplattform Google App Engine können Web-Apps gehostet werden. Neben legitimen Web-Apps wird der Dienst auch gern von Kriminellen genutzt, um Schadsoftware oder Phishing-Webseiten unter der vertrauenswürdigen Domain Appspot.com mit validem TLS-Zertifikat auszuliefern.

Die Funktion, fast beliebig viele gültige Links für ein und dieselbe Web-App oder Phishing-Webseite zu generieren, kommt den Kriminellen dabei sehr entgegen und macht das Filtern mit klassischen Blocklist-Ansätzen schwierig, warnt der Sicherheitsforscher Marcel Afrahim in einem Blogeintrag. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Bei Kriminellen sind Cloudplattformen für Command-and-Control-Server, Phishing oder das Verteilen von Schadsoftware beliebt. Während beispielsweise Microsofts Azure-Dienste eine URL wie https://example-subdomain.app123.web.core.windows.net/... pro Webseite zur Verfügung stellen, haben die Web-Apps bei der Google App Engine etliche URLs nach dem Schema VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com.

Eine Subdomain repräsentiert also nicht nur eine Anwendung, sondern auch deren Version sowie einen Dienst- und Instanznamen. Werden die jeweiligen Felder - bis auf den Namen (PROJECT_ID) mit beliebigen Daten befüllt, unter denen jedoch keine Web-App hinterlegt ist, erscheint nicht etwa eine 404-Meldung, sondern die Standardseite der Anwendung. Das als Soft-Routing bezeichnete Konzept führt jedoch dazu, dass eine Web-App oder eben eine Phishing-Seite/Schadsoftware unter fast beliebig vielen Links erreichbar ist.

Als Beispiel nennt Afrahim zwei URLs, die zwar sehr unterschiedlich aussehen, aber auf dieselbe Web-App verweisen:
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com.

Diese Dynamik in den URLs ist entsprechend schwer zu blockieren. Der Pentester Yusuke Osumi entdeckte kürzlich eine Microsoft-Phishing-Seite, die den von Afrahim beschriebenen Designfehler aktiv ausnutzt.

 (mtr)


Verwandte Artikel:
Google: Chrome soll keine kompletten URLs mehr anzeigen   
(14.08.2020, https://glm.io/150256 )
Spam: Webseite von Bundesministerium ermöglichte Phishing-Mails   
(18.08.2020, https://glm.io/150324 )
Darkweb: 179 mutmaßliche Darknet-Händler festgenommen   
(22.09.2020, https://glm.io/151035 )
Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine   
(09.12.2014, https://glm.io/111054 )
Xhamster und Co.: Malware wird wieder stärker über Pornoseiten verteilt   
(14.09.2020, https://glm.io/150844 )

© 1997–2020 Golem.de, https://www.golem.de/