Digital Life
26.09.2017

Sicherheitslücke in Google für Datendiebstahl genutzt

Eine spezielle Technik um Webseiten auf mobilen Geräten schneller zu laden, wird von Cyberkriminellen missbraucht, um investigative Journalisten auszuspionieren.

Eine seit vergangenen November bekannte Sicherheitslücke in der Suchmaschine des IT-Riesen Google wurde von russischen Cyberkriminellen genutzt, um Daten von Journalisten zu erbeuten. Nach derzeitigen Angaben besteht die Gefahr eines Datenklaus auf diese Weise immer noch, heißt es in dem Bericht bei Salon.

Beschleunigte Mobilseiten schuld

Sogenannte Accelerated Mobile Pages (AMPs) stellen die Basis der Schwachstelle dar. Dabei handelt es sich um einen Internetstandard von Google, der Webseiten für mobile Geräte optimieren soll. Um die Geschwindigkeit für die Smartphone-Nutzer zu beschleunigen, lädt Google die AMP-Seiten, die in den Suchergebnissen erscheinen, noch bevor sie aufgerufen werden. Die einzige Möglichkeit, dieses hintergründige Laden von Seiten zu ermöglichen, besteht darin, den zwischengespeicherten Seiten Google.com-URLs zu geben.

AMPs als Phishing-Hilfe

Die mit der russischen Regierung in Verbindung gebrachte Hackergruppe Fancy Bear nutzt dieses Seitenformat, um mittels gezieltem Spear Phishing an die Daten von einzelnen Google-Accounts zu kommen. Dabei handelt es sich um eine besondere Form des Identitätsdiebstahls über Webseiten oder E-Mails, der durch die Einbindung persönlicher Daten des Opfers glaubwürdiger erscheinen soll.

Auf diese Weise wurden etwa einige Journalisten des investigativen Recherchenetzwerks Bellingcat mit gefälschten Google-E-Mails kontaktiert. Diese waren im typischen Google-Design entworfen und enthielten Aufforderungen das eigene Passwort aus diversen Sicherheitsgründen zu ändern. Der Link zur Passwortänderung führte daraufhin auf eine AMP-Seite mit Google.com-URL, welche besondere Vertrauenswürdigkeit der E-Mail vortäuschte.

Reaktion und Kritik an Google

Neben den anspruchsvollen Phishing-Möglichkeiten, werden AMPs außerdem für ihre immanente Möglichkeit zur Tarnung von Junk-Webseiten kritisiert. Eine Google-Domain wirkt um einiges vertrauenswürdiger als beispielsweise ein simpler WordPress-Blog und macht so die Unterscheidung zwischen seriösen und unseriösen Nachrichtenportalen schwieriger.

Der bei Google für das AMP-Format zuständige Malte Ubl verteidigte vorerst die Technologie und sprach davon, dass er nicht glaube, dass einfache User dadurch getäuscht werden können, da der Google Search Viewer eindeutig die Originaladresse am oberen Bildschirmrand anzeige. Mittlerweile soll Googles Safe Browsing-Technologie die AMP-Seitens schützen, Experten zweifeln jedoch daran, ob das Problem dadurch behoben wurde.