Spammer missbrauchen ungefilterte Redirects in Google Maps
Kriminelle nutzen Googles Online-Kartendienst Maps, um Opfer mittels offener Redirects auf gefährliche Irrwege zu führen. Das Unternehmen weiß um das Problem, scheint aber bislang keinen Handlungsbedarf zu sehen.
URL-Shortener und mehrfache HTTP-Redirects kommen bei Spam-Kampagnen häufig zum Einsatz, um potenzielle Opfer möglichst unauffällig auf Phishing- oder Malware-Seiten zu schleusen. Ein Mitarbeiter des Sicherheitssoftware-Unternehmens Sophos stieß beim Entwirren einer solchen Umleitungs-Kette nun auf eine ungewöhnliche Weiterleitungstaktik über Googles Online-Kartendienst Maps. Der ermöglicht so genannte offene Redirects nach dem Schema https://maps.app.goo.gl/?link=https://(beliebige Webseite).
Da seitens Maps offenbar keinerlei ĂśberprĂĽfung der Ziel-URL stattfindet, kann ein Angreifer als Link-Parameter jede beliebige URL angeben; Sophos spricht von einer Open Redirection Vulnerability. Ein auf diese Weise kreierter Redirect kann Bestandteil einer ganzen Reihe weiterer Verschleierungstaktiken sein. Denkbar sind aber auch Szenarien, in denen Nutzer direkt darauf klicken, um vermeintliche Ortsangaben in Maps abzurufen.
Sophos sieht die größte Gefahr in der einfachen, anonymen Ausnutzbarkeit der Weiterleitungstaktik. Da Google Maps beziehungsweise dessen automatischer URL-Shortener nicht als Weiterleitungs-Service vorgesehen seien, gebe es zudem kein spezielles Interface, um die missbräuchliche Verwendung zu melden.
Problem ist schon seit letztem Jahr bekannt
Google weiß mindestens seit September 2017 von dem potenziellen Sicherheitsrisiko – ein Forscher meldete das Problem auf der nicht-kommerziellen Plattform Open Bug Bounty. Laut Disclosure Timeline wurde das Unternehmen benachrichtigt, ließ die 90-Tage-Frist jedoch ungenutzt verstreichen.
Interessant ist in diesem Zusammenhang, dass Google möglichen Maßnahmen gegen den Missbrauch offener Redirects bereits 2009 einen ausführlichen Blogeintrag widmete. Für Webmaster enthält er unter anderem den folgenden Tipp:
"Falls euer Script die Benutzer ohnehin nur zu internen Seiten [...] fĂĽhrt, solltet ihr Redirects zu externen Websiten explizit ausschlieĂźen."
Tatsächlich scheint es im Fall von maps.app.goo.gl keine guten Gründe zu geben, das Weiterleiten auf URLs außerhalb des Kartendienstes zu erlauben. Es bleibt also zu hoffen, dass sich Google doch noch auf den eigenen Ratschlag oder auf eine andere sinnvolle Filterstrategie für den Link-Parameter besinnt.
[Update 03.05.2018 16:00 Uhr]: Offenbar hat Google nun doch reagiert: Leser weisen hier im Forum seit heute Morgen darauf hin, dass Redirects auf (Google-)externe Webseiten nicht mehr funktionieren (https://maps.app.goo.gl/?link=https://maps.google.de hingegen schon). (ovw)