Google AMP

Google AMP als Einfallstor für Hacker

Um der mobilen Nutzung des Internets einen Schub zu verpassen, versucht Google mit der AMP-Erweiterung Websites auf Smartphones und Tablets schneller auszuliefern. Es gibt allerdings eine große Schwachstelle, die sich Hacker zunutze machen.
Von Stefan Kirchner

Google AMP Spear-Phishing könnte die Achillesverse von Google AMP werden
Foto: picture alliance / dpa
Einer der größten Anbieter zum Ausliefern von Inhalten ist Google, deren Accelerated Mobile Pages kurz AMP das Laden von Websites auf mobilen Geräten erheblich beschleunigen soll. Zahlreiche Website-Betreiber haben diese Funktion mittlerweile in ihren Online-Auftritten integriert, sodass Inhalte Ressourcen-schonend auch auf Smartphones und Tablets nutzbar sind.

Jedoch gibt es eine Lücke im grund­legenden Aufbau des AMP-Prinzips, den sich mutmaßliche Hacker der Gruppe Fancy Bear - auch als Strontium oder APT28 bezeichnet - zunutze gemacht haben. Der Hacker-Gruppe werden regierungs­nahe Kontakte nach Russland nachgesagt, was unter anderem während des US-Wahlkampfs für den 45. Präsidenten aufgedeckt wurde.

Nun macht das Hacker-Kollektiv dahingehend von sich Reden, dass über Googles AMP-Plattform Phishing-Websites in mindestens zwei Fällen gezielt ausgeliefert wurden, wie Salon berichtet. Eine Sicherheits­lücke, von deren Existenz Google mindestens seit Herbst des vergangenen Jahres weiß.

Fehler by Design

Google AMP Spear-Phishing könnte die Achillesverse von Google AMP werden
Foto: picture alliance / dpa
Um den Weg der Hacker zu verstehen, muss man zunächst erklären, wie AMP überhaupt funktioniert. Denn um eine mobile Website noch schneller auszuliefern, speichert Google eine Kopie der AMP-optimierten Website und liefert einfach diese bei hoher Klickrate aus. Um das wiederum zu gewähr­leisten, muss die kopierte Website auf einer Google-URL laufen, wo lediglich am oberen Seitenende die originale Quelle mit Adresse zu sehen ist. Dieser Hinweis verschwindet, sobald nach unten gescrollt wird - in der Adressleiste bleibt aber die Google-eigene URL zu sehen.

Genau diese Eigenart des AMP-Systems haben die genannten Hacker ausgenutzt und spezielle Fishing-Websites präpariert. Bei den Zielpersonen soll es sich vorwiegend um Journalisten mit kritischem Blick auf mögliche Korruptions­vorwürfe und andere mögliche Straftaten russischer regierungs­naher Personen handeln. Zu den bekannt gewordenen Fällen gehören Aric Toler, US-amerikanischer Experte für Russland-Fragen, und David Satter, ebenfalls US-amerikanischer Journalist, der öfters über russische Themen schreibt. Während bei Aric Toler die Angriffe fehlschlugen, war Fancy Bear bei David Satter erfolgreich.

Über präparierte Spear-Phishing-Websites konnten seine Gmail-Logindaten ausspioniert werden, was die Gruppe dann dazu nutzte, um sämtliche Inhalte aus Gmail zu kopieren. Bei Spear-Phishing handelt es sich um eine gezielte Phishing-Methode mit persönlicher Anrede und anderer persönlichen Daten, die über soziale Netzwerke und Mailing-Listen gesammelt werden. Eine großflächige Verbreitung von Pishing-Mails mit Opfern nach dem Zufallsprinzip erfolgt dabei nicht.

Veröffentlichung veränderter Dokumente

In Folge dessen wurden zahlreiche Artikel in seinem Namen mit vergleichsweise subtilen Änderungen veröffentlicht, in deren Inhalt russische Oppositionelle gezielt denunziert wurden. Aufgefallen ist der Angriff aber auch nur, weil besagte Inhalte veröffentlicht wurden, ohne das David Sattner diese selbst online gestellt hatte.

Auf Nachfrage von Salon erklärte Google lediglich, dass man bereits etliche Veränderungen an der AMP-Plattform vorgenommen habe, um die Sicherheit zu erhöhen. Welche Maßnahmen das genau sind, nannte das Unternehmen nicht. Gerade diese fehlende Transparenz wird Google öfters angekreidet, fordert der US-Konzern schließlich selbst mehr Transparenz von Konkurrenten.

Jedenfalls sind Googles bisher eingeführte Verbesserungen bei der AMP-Plattform nicht wirkungsvoll genug bei Spear-Phishing-Angriffen. Grund dafür: Die Sicherheits­vorkehrungen sowie Google Safe Browsing basieren auf dem Erkennen groß­angelegter Login-Versuche und massenhaften Berichten. Beides Dinge, die bei Spear-Phishing keine Wirkung zeigen.

Lesen Sie in einem weiteren Artikel, wie Google zudem Android sicherer machen will.

Mehr zum Thema Sicherheit bei Smartphones und Handys