Badacz odkrył dziwactwo w sposobie, w jaki Google App Engine zarządza subdomenami, które mogą pozwolić oszustom na prowadzenie kampanii e-mail phishingowych bez wykrycia. W uzasadnionych sytuacjach Google App Engine służy do tworzenia i hostowania aplikacji internetowych. Jednak zdaniem badacza bezpieczeństwa Marcela Afrahima platforma oparta na chmurze może być również wykorzystywana do omijania kontroli bezpieczeństwa i kierowania ofiar na złośliwe strony docelowe. Problem leży w sposobie, w jaki platforma generuje subdomeny i kieruje odwiedzających. Konfigurując serię nieprawidłowych subdomen, z których wszystkie automatycznie przekierowują do centralnej szkodliwej aplikacji, osoby atakujące mogą łatwo ukryć swoją aktywność.
Wyłudzanie wiadomości e-mail
Tradycyjnie specjaliści ds. bezpieczeństwa chronili użytkowników przed złośliwymi aplikacjami, identyfikując i blokując żądania kierowane do i wysyłane z niebezpiecznych subdomen. Jednak sposób, w jaki Google App Engine generuje adresy URL subdomen, znacznie utrudnia ten proces. Każda subdomena utworzona za pomocą platformy zawiera znacznik, który wyświetla wersję aplikacji, nazwę usługi, identyfikator projektu i identyfikator regionu. Jeśli jednak którakolwiek z tych informacji jest nieprawidłowa, o ile identyfikator projektu jest poprawny, subdomena automatycznie przekierowuje do strony domyślnej zamiast wyświetlać komunikat o błędzie 404. Ta praktyka, znana jako miękki routing, może pozwolić przestępcom na stworzenie dużej liczby subdomen, z których wszystkie prowadzą do jednej złośliwej strony docelowej. Tymczasem próby specjalistów ds. bezpieczeństwa są hamowane przez samą liczbę subdomen prowadzących do niebezpiecznej strony. „Żądania są odbierane przez dowolną wersję skonfigurowaną dla ruchu w usłudze docelowej. Jeśli docelowy strumień nie istnieje, żądanie jest kierowane elastycznie” — wyjaśnił Afrahim. „Jeśli żądanie pasuje do części PROJECT_ID.REGION_ID.r.appspot.com nazwy hosta, ale zawiera usługę, wersję lub nazwę instancji, która nie istnieje, żądanie jest kierowane do usługi domyślnej, która jest w zasadzie domyślną usługą nazwa hosta aplikacji.” Według badacza bezpieczeństwa Yusuke Osumi, luka zidentyfikowana przez Afrahima jest już wykorzystywana w środowisku naturalnym. Badacz zamieścił na Twitterze listę ponad 2.000 subdomen, wygenerowanych automatycznie za pomocą generatora domen Google App Engine, z których wszystkie prowadziły do strony docelowej phishingu podszywającej się pod portal logowania Microsoft. Firma Google nie odpowiedziała jeszcze na naszą prośbę o komentarz na temat tego, co można zrobić, aby zaradzić tej luce. Przez komputer, który brzmi