Viele Portale und Webseiten bieten mittlerweile auch eine AMP-Version ihrer Artikel an und setzen auf die Vorteile von Googles blitzschnellem Format. Um die Ladezeiten noch weiter zu verkürzen, liefert Google diese mobilen Seiten häufig über den eigenen AMP-Proxy aus, der über ein optimiertes Caching und schnellere Antwortzeiten verfügt. Aber genau das kann schnell zu einer Gefahr und zum Einfallstor für Phishing & Co werden.
Praktisch alle Webseiten bieten eine mobile Version für Smartphones und meist auch Tablets an, die für die kleinen Displays und auch für geringere Datenmengen optimiert sind, aber dennoch muss man noch immer längere Zeit warten, bis die Inhalte tatsächlich angezeigt wurden. Aus diesem Grund hat Google das AMP-Format (Accelerated Mobile Pages) geschaffen, um nur noch die Inhalte ohne große Skripte, Tracker und sonstige unnötige Inhalte auszuliefern.
AMP hat sich ziemlich schnell durchgesetzt und wird ebenfalls von sehr vielen großen Webseiten verwendet. Ein Grund ist natürlich auch das Blitz-Symbol in der Websuche, mit dem Nutzer genau diese schnelle Ladezeit suggeriert und versprochen wird. Um dieses Versprechen zu halten, kann Google die AMP-Seiten auf dem eigenen Server cachen und diese dort ausliefern. Dadurch werden diese Seiten dann unter der google.com-Domain ausgeliefert, und genau das kann zu einem Problem führen.
Google.com steht bei vielen Tools zum Schutz vor Phishing, Malware und sonstigen Angriffen auf der Whitelist und wird somit als nicht gefährlich eingestuft. Das mag im allgemeinen auch so sein, aber durch die Auslagerung der AMP-Webseiten gibt man Angreifern die Möglichkeit, beliebige Inhalte darüber auszuspielen. Diese sind sowohl für den Nutzer als auch für die Sicherheits-Tools nicht so leicht zu erkennen: Der Nutzer sieht in der kleinen Adressleiste meist nur google.com/amp und die Tools schlagen gar nicht erst an.
Tatsächlich soll dieser Umstand schon ausgenutzt worden sein und ist Google auch wohlbekannt. Vermutlich hat man aber bei der Einführung des AMP-Caches nicht über solche Szenarien nachgedacht und fährt die Sicherheitsschranken erst nach und nach hoch.
Es soll nun schon eine Reihe von Phishing-Webseiten geben, die ihre Inhalte zusätzlich auch als AMP-Version ausliefern, um auf die Server von Google.com zu kommen und darüber ausgeliefert zu werden. Dabei müssen die Angreifer nicht einmal darauf setzen, in der Websuche weit oben aufzutauchen, denn die AMP-Versionen können auch so direkt in E-Mails und anderen Verbreitungswegen genutzt und geteilt werden.
Google ist sich dem Problem mittlerweile bewusst und soll schon einige Maßnahmen zur Absicherung getroffen haben, hat dazu aber keine weiteren Details verraten. Außerdem arbeitet man eng mit Browserherstellern zusammen, um das weitere Vorgehen zu besprechen und AMP gemeinsam abzusichern. Vermutlich wird man dabei einfach google.com mit dem Pfad /amp/ von den Whitelists streichen und so auch wieder eine korrekte Arbeit der diversen Tools ermöglichen.
Die leichtere Lösung wäre es vielleicht auch einfach gewesen, die Inhalte nicht mehr über google.com auszuliefern. Es wäre ein leichtes, diese Seiten einfach über ampcache.com oder sonst eine andere Domain auszuliefern, in der nicht unbedingt das Wörtchen „google“ vorkommt und sowohl den Tools als auch den Nutzern eine Sicherheit vorgaukelt, die gar nicht gegeben ist.