Google AMP als Einfallstor für Hacker
Spear-Phishing könnte die Achillesverse von Google AMP werden
Foto: picture alliance / dpa
Einer der größten Anbieter zum Ausliefern von Inhalten ist Google, deren Accelerated Mobile Pages kurz AMP das Laden von Websites auf mobilen Geräten erheblich beschleunigen soll. Zahlreiche Website-Betreiber haben diese Funktion mittlerweile in ihren Online-Auftritten integriert, sodass Inhalte Ressourcen-schonend auch auf Smartphones und Tablets nutzbar sind.
Jedoch gibt es eine Lücke im grundlegenden Aufbau des AMP-Prinzips, den sich mutmaßliche Hacker der Gruppe Fancy Bear - auch als Strontium oder APT28 bezeichnet - zunutze gemacht haben. Der Hacker-Gruppe werden regierungsnahe Kontakte nach Russland nachgesagt, was unter anderem während des US-Wahlkampfs für den 45. Präsidenten aufgedeckt wurde.
Nun macht das Hacker-Kollektiv dahingehend von sich Reden, dass über Googles AMP-Plattform Phishing-Websites in mindestens zwei Fällen gezielt ausgeliefert wurden, wie Salon berichtet. Eine Sicherheitslücke, von deren Existenz Google mindestens seit Herbst des vergangenen Jahres weiß.
Fehler by Design
Spear-Phishing könnte die Achillesverse von Google AMP werden
Foto: picture alliance / dpa
Um den Weg der Hacker zu verstehen, muss man zunächst erklären, wie AMP überhaupt funktioniert. Denn um eine mobile Website noch schneller auszuliefern, speichert Google eine Kopie der AMP-optimierten Website und liefert einfach diese bei hoher Klickrate aus. Um das wiederum zu gewährleisten, muss die kopierte Website auf einer Google-URL laufen, wo lediglich am oberen Seitenende die originale Quelle mit Adresse zu sehen ist. Dieser Hinweis verschwindet, sobald nach unten gescrollt wird - in der Adressleiste bleibt aber die Google-eigene URL zu sehen.
Genau diese Eigenart des AMP-Systems haben die genannten Hacker ausgenutzt und spezielle Fishing-Websites präpariert. Bei den Zielpersonen soll es sich vorwiegend um Journalisten mit kritischem Blick auf mögliche Korruptionsvorwürfe und andere mögliche Straftaten russischer regierungsnaher Personen handeln. Zu den bekannt gewordenen Fällen gehören Aric Toler, US-amerikanischer Experte für Russland-Fragen, und David Satter, ebenfalls US-amerikanischer Journalist, der öfters über russische Themen schreibt. Während bei Aric Toler die Angriffe fehlschlugen, war Fancy Bear bei David Satter erfolgreich.
Über präparierte Spear-Phishing-Websites konnten seine Gmail-Logindaten ausspioniert werden, was die Gruppe dann dazu nutzte, um sämtliche Inhalte aus Gmail zu kopieren. Bei Spear-Phishing handelt es sich um eine gezielte Phishing-Methode mit persönlicher Anrede und anderer persönlichen Daten, die über soziale Netzwerke und Mailing-Listen gesammelt werden. Eine großflächige Verbreitung von Pishing-Mails mit Opfern nach dem Zufallsprinzip erfolgt dabei nicht.
Veröffentlichung veränderter Dokumente
In Folge dessen wurden zahlreiche Artikel in seinem Namen mit vergleichsweise subtilen Änderungen veröffentlicht, in deren Inhalt russische Oppositionelle gezielt denunziert wurden. Aufgefallen ist der Angriff aber auch nur, weil besagte Inhalte veröffentlicht wurden, ohne das David Sattner diese selbst online gestellt hatte.
Auf Nachfrage von Salon erklärte Google lediglich, dass man bereits etliche Veränderungen an der AMP-Plattform vorgenommen habe, um die Sicherheit zu erhöhen. Welche Maßnahmen das genau sind, nannte das Unternehmen nicht. Gerade diese fehlende Transparenz wird Google öfters angekreidet, fordert der US-Konzern schließlich selbst mehr Transparenz von Konkurrenten.
Jedenfalls sind Googles bisher eingeführte Verbesserungen bei der AMP-Plattform nicht wirkungsvoll genug bei Spear-Phishing-Angriffen. Grund dafür: Die Sicherheitsvorkehrungen sowie Google Safe Browsing basieren auf dem Erkennen großangelegter Login-Versuche und massenhaften Berichten. Beides Dinge, die bei Spear-Phishing keine Wirkung zeigen.
Lesen Sie in einem weiteren Artikel, wie Google zudem Android sicherer machen will.