Ein Forscher hat eine Eigenart in der Art und Weise entdeckt, wie Google App Engine Subdomains verwaltet, die es Betrügern ermöglichen könnte, unbemerkt Phishing-E-Mail-Kampagnen durchzuführen. In legitimen Szenarien wird Google App Engine zum Entwickeln und Hosten von Webanwendungen verwendet. Laut Sicherheitsforscher Marcel Afrahim kann die cloudbasierte Plattform jedoch auch dazu missbraucht werden, Sicherheitskontrollen zu umgehen und Opfer auf bösartige Landingpages zu leiten. Das Problem liegt in der Art und Weise, wie die Plattform Subdomains generiert und Besucher weiterleitet. Durch die Einrichtung einer Reihe ungültiger Subdomains, die alle automatisch auf eine zentrale bösartige App umleiten, können Angreifer ihre Aktivitäten leicht verbergen.
E-Mail-Phishing
Traditionell schützen Sicherheitsexperten Benutzer vor bösartigen Anwendungen, indem sie Anfragen an und von gefährlichen Subdomains identifizieren und blockieren. Allerdings erschwert die Art und Weise, wie Google App Engine Subdomain-URLs generiert, diesen Prozess erheblich. Jede mit der Plattform erstellte Subdomain enthält ein Tag, das die Anwendungsversion, den Dienstnamen, die Projekt-ID und die Regions-ID anzeigt. Wenn jedoch eine dieser Informationen ungültig ist und die Projekt-ID korrekt ist, leitet die Subdomain automatisch auf eine Standardseite weiter, anstatt eine 404-Fehlermeldung anzuzeigen. Diese als Soft Routing bezeichnete Praxis könnte es Kriminellen ermöglichen, eine große Anzahl zu erstellen von Subdomains, die alle zu einer einzigen bösartigen Zielseite führen. Die Versuche von Sicherheitsexperten werden unterdessen durch die schiere Menge an Subdomains erschwert, die zu der gefährlichen Seite führen. „Anfragen werden von jeder Version empfangen, die für den Datenverkehr auf dem Zieldienst konfiguriert ist. Wenn der Zielstream nicht existiert, wird die Anfrage flexibel weitergeleitet“, erklärte Afrahim. „Wenn eine Anfrage mit dem PROJECT_ID.REGION_ID.r.appspot.com-Teil des Hostnamens übereinstimmt, aber einen Dienst-, Versions- oder Instanznamen enthält, der nicht existiert, wird die Anfrage an den Standarddienst weitergeleitet, der im Grunde Ihr Standarddienst ist Hostname der Anwendung.“ Laut dem Sicherheitsforscher Yusuke Osumi wird die von Afrahim identifizierte Schwachstelle bereits in freier Wildbahn ausgenutzt. Der Forscher twitterte eine Liste mit mehr als 2.000 Subdomains, die automatisch mit dem Domain-Generator der Google App Engine generiert wurden, was alles zu einer Phishing-Landingpage führte, die sich als Microsoft-Anmeldeportal ausgab. Google hat noch nicht auf unsere Bitte um Stellungnahme dazu geantwortet, was getan werden könnte, um die Sicherheitslücke zu beheben. Durch einen Computer, der klingt