Offene Weiterleitungen per goo.gl URL Shortener: Spammer nutzen gefälschte Google Maps Links

maps 

Spammer und Phisher finden immer wieder neue Wege, Nutzer durch Täuschungen zum Besuch von gefälschten Webseiten zu bewegen und machen sich dazu auch offene Weiterleitungen zunutze. Jetzt haben Sicherheitsforscher wieder einen Weg gefunden, um über eine Google-Domain eine solche Weiterleitung zu nutzen. Zum Einsatz kommt dazu eine Mischung aus Google Maps und dem Google URL Shortener goo.gl, der tatsächlich eine solche offene Weiterleitung unterstützt.


Weiterleitungen sind in einigen Diensten notwendig, sollten aber, wenn sie unter der eigenen Domain laufen, kontrolliert werden und scharfe Regeln haben. Dennoch gibt es im Web sehr viele Webseiten, bei denen solche Weiterleitungen sehr leicht umsetzbar sind und gekapert werden können. Auch eine Google-Domain gehört dazu, hinter der ein ahnungsloser Empfänger eines solchen Links eher keine betrügerische Webseite vermuten würde.

google maps shortener

Google setzt zur Kürzung von Maps-Links auf den eigenen URL-Shortener goo.gl und verwendet dafür das spezielle Format goo.gl/maps/abc123. Anders sieht es aus, wenn eine Android-App Google Maps verwendet und dort ebenfalls eine URL kürzen möchte. Dann kommt eine einfache Weiterleitung zum Einsatz, die nicht auf einem unlesbaren Code, sondern auf einer direkten Angabe der URL basiert. Und genau hier liegt das große Problem, das von Spammern und Phishern aller Art ausgenutzt werden kann.

So sieht eine Maps-Weiterleitung aus

https://maps.app.goo.gl/?link=https://www.example.org

An den Link-Parameter kann jede beliebige URL angehangen werden, zu der der Nutzer automatisch weitergeleitet wird. Da der Nutzer aufgrund der URL einen Link zu den Google Maps erwarten würde, ist das ein großes Problem und sorgt dafür, dass viele Nutzer bedenkenlos klicken. Leitet man nun z.B. auf eine gefälschte Google Login-Seite weiter, würden möglicherweise nicht wenige bereitwillig ihre Zugangsdaten oder andere Informationen eingeben.



Das Problem ist Google laut den Entdecker spätestens seit September 2017 bekannt, doch dagegen wurde bisher nichts. Das mag vielleicht auch daran liegen, dass der URL Shortener schon bald eingestellt wird – allerdings werden die Links auch weiterhin funktionieren und somit wohl auch die Weiterleitung möglich sein.

Wie heise herausgefunden hat, hat Google schon vor gut neun Jahren vor solchen Gefahren gewarnt, womit es etwas unverständlich ist, warum man selbst eine solche Möglichkeit anbietet. Gerade im Fall der Maps-Domain wäre es ein leichtes, einfach nur echte Links zu einer Google Maps-Seite durchzulassen und alle anderen zu sperren. Gut möglich, dass das durch die Medienberichte nun umgesetzt wird, bisher hat Google aber noch nicht reagiert.

Erst vor wenigen Tagen war übrigens GMail von einer mysteriösen Spam-Welle betroffen, die sich aber längst wieder beruhigt hat.

» Der Bericht bei Sophos

Siehe auch
» Mysteriöse Spam-Welle überrollt GMail-Nutzer: Mails stammen angeblich vom Empfänger selbst
» Frühjahrsputz: Googles URL-Shortener goo.gl wird schon in wenigen Wochen eingestellt
» Nach der Einstellung von goo.gl: So lassen sich auch weiterhin goo.gl Kurz-URLs erstellen
» Google Maps: Fehler im Kartenmaterial führen zu kleinen Katastrophen & Problemen (Teil 2)
» Google Maps: Neue Funktion zur Standortfreigabe, modernisierte Listen & mehr (Teardown Version 9.77)

[heise]




Teile diesen Artikel:

Facebook twitter Pocket Pocket