Google är i hett vatten med säkerhetscommunityt efter att det avslöjades att den ryska hackergruppen Fancy Bear har utnyttjat en sårbarhet i sin Accelerated Mobile Pages-plattform.
En artikel om Salong rapporterar att Fancy Bear hade använt sig av Googles AMP-system för mobilsidor för att lura användare att tro att det serverade legitima sidor. Den använde sedan dessa mer övertygande sidor för att stjäla data från journalister som gruppen specifikt hade riktat in sig på. Med andra ord, Fancy Bear använde Google AMP för att iscensätta en bra, gammaldags nätfiskeattack.
Stycket riktar sedan skulden mot Google och säger att det är ett problem som Google ”vägrade att fixa”. Men även om Google har gjort framsteg i att hantera nätfiskeattacker via e-post, ligger problemet inte i sig inom AMP-plattformen. Att peka finger mot Google undergräver själva ansträngningarna som de gör för att förbättra webbupplevelsen.
AMP-sidor cachelagrar webbplatser till Googles servrar för att påskynda laddningstiden på mobilen – en notoriskt långsam plattform på grund av varierande dataöverföringshastigheter. Det fungerar genom att ta bort allt överflödigt bagage som många webbplatser innehåller och ersätta annonser med snabbare, Google-drivna.
I processen för att cachelagra sidor måste Google justera webbadressen och prefixet den med Google.com. Vissa anser att detta är vilseledande för användare som helt enkelt läser webbadressen och tror att den är en pålitlig källa – det är ett problem som vissa redan har flaggat med plattformen eftersom de tror att det är ett sätt för falska nyhetssajter att spridas som om de är legitima nyheter uttag.
LÄS NÄSTA: BlueBorne är det första riktigt luftburna dataviruset
Fancy Bear utnyttjade denna ”sårbarhet” som en del av sin nätfiskekampanj och lurade journalister som undersökte den regeringssponsrade hackargruppen, som påstås sponsras av den ryska regeringen. Men sanningen är att Fancy Bear inte hackade AMP-systemet, och Googles plattform är inte trasig.
Istället ser det ut som om konsten att nätfiskeattacken helt enkelt utvecklas för att passa ett nytt medium.
Som den Salong Rapporten påpekar att nätfiskarna försökte samla in information från utvalda journalister på mer traditionella sätt. Tidigare meddelanden använde URL-förkortare som Bit.ly, men med tiden förlitade de sig på AMP-länkar för att få dessa skissartade sidor att framstå som legitima.
”Dessa e-postmeddelanden försökte locka sina mål genom att ta dem till en falsk Google-inloggningssida där de skulle ange sina autentiseringsuppgifter”, sa en talesperson för ThreatConnect Salong. ”För att göra detta utnyttjade angriparna både Googles AMP-tjänster och länkförkortningstjänster för att dölja det faktum att sidan inte var en legitim Google-webbplats och för att få den att se läsbar ut om målet använde en mobiltelefon.”
Precis som folk har blivit vana vid att upptäcka tvivelaktiga länkar i e-postmeddelanden, kommer samma sak så småningom att gälla med AMP-sidor. Under Google.com AMP URL listar Google den ursprungliga webbadressen, som i det här fallet var en förkortad länk för att maskera dess falska inloggningssida. Det är inte ett sofistikerat hack: det är helt enkelt ett team av webbkunniga hackare som skapar sidor som följer Googles AMP-standard.
Tidigare i år, Registret skrev om hur nätfiskemail hade börjat använda bilagor för att locka användare till falska sidor. Istället för att använda AMP-sidor för att lura användare att tro att de kommer åt legitima sidor, lägger de in bilder på vad som verkade vara bilagor. Om du klickar på dem öppnas en webbsida i Mail, vilket ger den en webbadress till Google.com. Tack och lov är tvåfaktorsautentisering fortfarande ett bra sätt att säkra dig mot detta.
LÄS NÄSTA: Vad är DuckDuckGo?
De Salong artikeln hånar Google för att hålla sina säkerhetsuppdateringar på AMP-plattformen tysta, men om företaget skulle avslöja hur det försöker slå ut dessa tvivelaktiga sidor, skulle det göra det möjligt för hackare att ta reda på hur man kan kringgå dessa åtgärder snabbare.
Google kan inte ”fixa” problemet eftersom det inte finns något problem som behöver åtgärdas. AMP fungerar precis som det ska – nätfiskare drar bara nytta av en framväxande teknologi. Det betyder inte att AMP är perfekt – långt ifrån – men det kommer att ta tid att fungera.
Google arbetar redan för att göra sitt initiativ till standard, och säger i en tråd på GitHub att de arbetar ”med webbläsarleverantörer för att så småningom få ursprunget [URL] höger”. När nätfiskeattacker började bli vardagligt var folk inte vana vid att upptäcka tvivelaktiga webbadresser. Men nu kan även den minst internetkunniga användaren upptäcka när något verkar fel – det tar tid och tekniken måste bli standardiserad. Istället för att håna Google för ett ”fel” som inte finns, är det värt att betona att konsten att nätfiskeattacker håller på att förändras.
Google erbjöd ett svar på vår artikel, med Ubi som sa: ”Tvärtemot påståendena i berättelsen fixade vi det här problemet i början av året för att göra google.com/amp Webbadresser säkrare.
”Nu när våra system är osäkra på om en given webbadress är säker kommer vi att visa en mellansidesannons som informerar användaren om att de omdirigeras till en annan sida som är potentiellt osäker att klicka på. Vi utnyttjar ett antal säkerhetsåtgärder, inklusive Googles Safe Browsing-teknik, som söker igenom webben efter potentiellt farliga webbplatser och varnar användare innan de navigerar till dem.”
