Уязвимость OpenRedirect в Google AMP
В платформе Google AMP нашли уязвимость OpenRedirect, которая позволяет перенаправить пользователя на фишинговый сайт. Обнаружили это эксперты компании Cofense.
Что такое Google AMP?
Google AMP (Accelerated Mobile Pages) - это открытая платформа, разработанная для улучшения производительности и скорости мобильных веб-страниц. Она направлена на предоставление более быстрого и плавного пользовательского опыта путем оптимизации времени загрузки веб-контента на мобильных устройствах.
С помощью Google AMP можно улучшить загрузку веб-страниц для мобильных телефонов. Однако для использования этой технологии необходимо подготовить сайт, следуя рекомендациям и инструкциям Google AMP.
Google AMP поддерживает как мобильные устройства, так и обычные компьютеры, если направить на соответствующий URL.
Что такое OpenRedirect?
Уязвимость OpenRedirect позволяет злоумышленнику перенаправить пользователя на вредоносный сайт, подделав URL-адрес. Это может привести к фишингу, краже учетных данных или распространению вредоносного программного обеспечения. Атакующий может использовать различные векторы атак, такие как отправка фишинговых электронных писем с поддельными ссылками или манипуляция URL-адресами на веб-страницах.
Чем опасна уязвимость OpenRedirect в Google AMP?
Уязвимость OpenRedirect в Google AMP позволяет перенаправить пользователя на любой сайт используя урл:
https://www.google.com/amp/s/www.mail.ru/
Естественно, вместо mail.ru можно подставить абсолютно любой сайт и это сработает, даже если сайт никогда не настраивался под Google AMP.
Основная проблема в том, что url в таком случае выглядит как легитимный. Таким урлом можно обмануть не просто внимательного безопасника, но и почти все IDS, IPS и прочие средства защиты. Разработчики средств защиты только начали патчить свои продукты от подобных уязвимостей OpenRedirect в Google AMP, но ведь множество средств защиты просто не обновляются.
Самая большая уязвимость - это сам пользователь, и тут, к сожалению, даже грамотный, ответственный и внимательный безопасник скорее всего пропустит письмо с таким урлом.
Что делать?
В первую очередь, нужно внимательно смотреть весь url-адрес, если он начинается на google.com, потому что даже обновленное средство защиты может пропустить такое письмо, а вектор атаки будет именно через фишинговые письма и фишинговые сайты.
Далее необходимо обновить ваши средства защиты, в особенности системы обнаружения и (или) противодействия вторжениями, почтовые шлюзы, антивирусы со всякими проактивными модулями (без них смысла нет), прокси сервера, серверные антивирусы.
Унифицировать требования к настройке средств защиты невозможно, да и даже абстрактные советы дать сложно - тут придется вам самим изучать документацию на ваше средство защиты и думать о том, как защитить вашу компанию от уязвимости OpenRedirect в Google AMP.