- Il confronto
- Tutorial
- Lo strumento di Google semplifica l'aggiramento accidentale dei filtri di phishing
Un ricercatore ha scoperto una stranezza nel modo in cui Google App Engine gestisce i sottodomini che potrebbe consentire ai truffatori di eseguire campagne email di phishing senza essere rilevati. In scenari legittimi, Google App Engine viene utilizzato per sviluppare e ospitare applicazioni web. Tuttavia, secondo il ricercatore di sicurezza Marcel Afrahim, si può anche abusare della piattaforma basata su cloud per aggirare i controlli di sicurezza e indirizzare le vittime a pagine di destinazione dannose. Il problema sta nel modo in cui la piattaforma genera sottodomini e instrada i visitatori. Impostando una serie di sottodomini non validi, che reindirizzano tutti automaticamente a un'applicazione dannosa centrale, gli aggressori possono facilmente nascondere la propria attività.
Email phishing
Tradizionalmente, i professionisti della sicurezza proteggono gli utenti dalle applicazioni dannose identificando e bloccando le richieste da e verso sottodomini pericolosi. Tuttavia, il modo in cui Google App Engine genera gli URL dei sottodomini rende questo processo molto più difficile. Ogni sottodominio creato con la piattaforma contiene un'etichetta che mostra la versione dell'applicazione, il nome del servizio, l'ID del progetto e l'ID della regione. Ma se una qualsiasi di queste informazioni non è valida, purché l'ID progetto sia corretto, il sottodominio reindirizza automaticamente a una pagina predefinita invece di visualizzare un messaggio di errore 404. Questa pratica, nota come routing flessibile, potrebbe consentire ai criminali di creare un gran numero di sottodomini, che portano tutti a un'unica pagina di destinazione dannosa. I tentativi dei professionisti della sicurezza, nel frattempo, sono ostacolati dall'enorme volume di sottodomini che portano alla pagina pericolosa. “Le richieste vengono ricevute da qualsiasi versione configurata per il traffico sul servizio di destinazione. Se il flusso preso di mira non esiste, la richiesta viene instradata in modo flessibile”, ha spiegato Afrahim. "Se una richiesta corrisponde alla parte PROJECT_ID.REGION_ID.r.appspot.com del nome host, ma include un servizio, una versione o un nome di istanza che non esiste, la richiesta viene instradata al servizio predefinito, che è fondamentalmente il tuo nome host predefinito dell'applicazione." Secondo il ricercatore di sicurezza Yusuke Osumi, la vulnerabilità identificata da Afrahim viene già sfruttata in modo selvaggio. Il ricercatore ha twittato un elenco di oltre 2.000 sottodomini, generati automaticamente con il generatore di domini di Google App Engine, che portavano tutti a una pagina di destinazione di phishing camuffata da portale di accesso di Microsoft. Google deve ancora rispondere alla nostra richiesta di commento su cosa si potrebbe fare per risolvere la vulnerabilità. Attraverso un computer che squilla