Die Cloud-Anwendungsplattform Google App Engine kann laut Sicherheitsforschern aktiv zum Hosten von Websites, welche mit schädlichen Web-Apps präpariert sind, missbraucht werden. Online-Kriminelle könnten solche Apps etwa zum Phishing oder zur Auslieferung weiterer Malware im Kontext von Command-and-Control-Infrastrukturen missbrauchen.

Ein Feature des Cloud Service, welcher eigentlich für die Entwicklung und Bereitstellung von Webanwendungen ausgelegt ist, macht ihn für Kriminelle besonders attraktiv: Nahezu beliebig viele gültige Links können im Kontext einer einzigen hinzugefügten App generiert werden. So wird ein unkompliziertes Austricksen von Blacklisting-Mechanismen möglich.

Wird eine neue App angelegt, so generiert die Google App Engine eine neue appspot.com-Subdomain. Die Dienste innerhalb der App erhalten als Komponenten später jeweils eine eigene Subdomain, welche die Version und den Namen des jeweiligen Dienstes mit den statischen IDs für Projekt und Region kombiniert. Laut eines Blogeintrags des Sicherheitsforschers Marcel Afrahim leiten Google App Engine URLs, welche auf nicht vorhandene Versionen oder Services verweisen, mithilfe eines "Soft-Routing"-Mechanismus zur ursprünglichen Subdomain ds Projekts und somit auf eine zuvor festgelegte Default-Version der App. Dieses Verhalten ermöglicht Angreifern die Generierung beliebig vieler URLs für jede angelegte App.

Klassische Sicherheits-Tools und -Plugins können diese Angriffstrategie nicht erkennen - so Afrahim. Nutzer sollten Links zu appspot.com-Subdomains daher mit Vorsicht behandeln. Laut einem Tweet des Sicherheitsforschers Yusuke Osumi sind diese etwa bereits in einer Microsoft-bezogenen Phishing-Kampagne im Umlauf.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE