Verzögerte Löschung von Google-API-Schlüsseln

Sicherheitslücke bei Google: Gelöschte API-Schlüssel bleiben aktiv

Google, google phishing, Phishing, no-reply@google.com, Mail
Bildquelle: KI-generiert mithilfe von shutterstock.com
LinkedInRedditWhatsApp

Sicherheitsforscher von Aikido entdecken, dass gelöschte Google-API-Schlüssel bis zu 23 Minuten lang für unbefugte Datenabfragen genutzt werden können.

Sicherheitsforscher des IT-Sicherheitsunternehmens Aikido haben eine erhebliche zeitliche Verzögerung bei der Deaktivierung von Google-API-Schlüsseln dokumentiert. Wenn ein Entwickler feststellt, dass ein Schnittstellenschlüssel unbeabsichtigt offengelegt wurde, und diesen im Administrationsbereich löscht, bleibt der Schlüssel auf bestimmten Servern der Google-Infrastruktur noch bis zu 23 Minuten lang funktionsfähig. Diese Sicherheitslücke eröffnet Angreifern ein kritisches Zeitfenster, um unbefugte Abfragen zu starten.

Anzeige

Da Google die automatische Hochstufung von Abrechnungsstufen anwendet, kann dieses Intervall zu finanziellen Schäden und Datenabflüssen bei den betroffenen Kontoinhabern führen. Joseph Leon, ein Sicherheitsforscher bei Aikido, erklärte, dass Angreifer in diesem Zeitraum gezielt Kosten verursachen, sensible Daten aus Systemen wie der künstlichen Intelligenz Gemini extrahieren und im Cache gespeicherte Kontexte abgreifen können.

Erhebliche Schwankungen bei Erfolgsquote

Um das Ausmaß der Verzögerung zu bestimmen, führte das Team von Aikido eine kontrollierte Testreihe durch. An zwei aufeinanderfolgenden Tagen wurden insgesamt zehn separate Versuche unternommen. In jedem einzelnen Testlauf generierten die Forscher einen neuen API-Schlüssel, löschten diesen im Anschluss und sendeten unmittelbar danach kontinuierlich zwischen drei und fünf authentifizierte Anfragen pro Sekunde an die Schnittstelle. Die Abfragen wurden so lange fortgesetzt, bis über einen Zeitraum von mehreren Minuten keine gültige Antwort mehr vom Server zurückkam. Die Ergebnisse zeigen, dass der Löschbefehl nicht sofort global umgesetzt wird, sondern sich schrittweise über die weltweite Serverinfrastruktur von Google ausbreitet.

Während einige Server den Schlüssel bereits nach wenigen Sekunden abweisen, akzeptieren andere Systeme den Zugriff weiterhin. Ein Angreifer, der im Besitz eines kompromittierten Schlüssels ist, kann durch das massenhafte Senden von Anfragen statistisch ausnutzen, dass ein Teil der Anfragen an Server weitergeleitet wird, die den Löschbefehl noch nicht verarbeitet haben. Die Forscher stellten fest, dass das Zeitfenster im Durchschnitt 16 Minuten offen blieb und im schlechtesten Fall fast 23 Minuten erreichte. Die Erfolgsquote der unbefugten Authentifizierung schwankte dabei unvorhersehbar zwischen über 90 Prozent und unter einem Prozent pro Minute.

Anzeige

Schnellere Registrierung weit weg von Vereinigten Staaten

Für die Durchführung der Experimente nutzte das Sicherheitsunternehmen virtuelle Maschinen in drei verschiedenen Regionen der Google Cloud Plattform. Die Testrechner befanden sich an der Ostküste der Vereinigten Staaten, in Westeuropa und in Südostasien. Bei der Auswertung der regionalen Daten stießen die Analysten auf ein unerwartetes Phänomen: Virtuelle Maschinen, die geografisch weiter von den Vereinigten Staaten entfernt waren, registrierten die Löschung des Schlüssels schneller als Systeme in der Nähe der US-Infrastruktur.

Die Forscher wiesen darauf hin, dass die Routing-Prozesse von Google komplexer sind als eine einfache Zuordnung von virtueller Maschine zu einer lokalen Serverregion. Das konsistente Auftreten dieses Musters über alle Testläufe hinweg deutet jedoch darauf hin, dass spezifische regionale Caching-Strukturen oder Routing-Affinitäten für diese zeitlichen Unterschiede verantwortlich sind. Die Tests zeigten zudem, dass das Verhalten nicht auf Schnittstellen für Gemini beschränkt ist, sondern auch bei Schlüsseln auftritt, die für andere Dienste wie BigQuery oder Google Maps konfiguriert sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Finanzielle Risiken durch automatische Abrechnungsmodelle

Das Risiko für Softwareentwickler wird durch eine Änderung der Abrechnungsrichtlinien von Google verschärft, die im April eingeführt wurde. Google integrierte automatische Spending-Tiers, die von vielen Entwicklern ursprünglich als Mechanismus zur Kostenbegrenzung verstanden wurden. Die Richtlinie sieht jedoch vor, dass das System die zulässige Budgetgrenze ohne explizite Benachrichtigung des Nutzers automatisch auf die nächste Stufe anhebt, wenn die Nutzung schlagartig ansteigt. Für Konten, die länger als 30 Tage existieren und über ihre Laufzeit hinweg mehr als 1000 US-Dollar verbraucht haben, kann sich das Limit bei einer plötzlichen Auslastungsspitze von 250 US-Dollar auf bis zu 100.000 US-Dollar erhöhen.

Wenn Kriminelle einen kompromittierten Schlüssel erlangen, nutzen sie diese automatische Hochstufung gezielt aus. Betroffene Entwickler berichteten, dass ihre Rechnungen innerhalb weniger Minuten nach dem Diebstahl der Zugangsdaten im fünfstelligen Bereich lagen. Die Angreifer nutzen die Schnittstellen vor allem, um rechenintensive Aufgaben über die Gemini-Modelle wie Nano Banana oder das Videoproduktionsmodell Veo 3 auszuführen. In drei dokumentierten Fällen, die an die Öffentlichkeit gelangten, erstattete Google den betroffenen Entwicklern die entstandenen Schäden in Höhe von insgesamt 154.000 US-Dollar zurück.

Google-Sicherheitslücke höher als bei anderen Cloud-Anbietern

Die Problematik der verzögerten Synchronisation von Löschbefehlen ist in der Cloud-Branche nicht neu. Im Dezember dokumentierten Sicherheitsforscher ein ähnliches Phänomen bei den Identitätsschlüsseln von Amazon Web Services. Dort betrug das Zeitfenster für einen Missbrauch nach der Löschung jedoch lediglich vier Sekunden. Selbst dieses kurze Intervall reichte aus, um automatisierte Angriffe durchzuführen, bei denen neue, dauerhafte Zugangsdaten erstellt wurden. Das von Aikido bei Google gemessene Zeitfenster ist im Vergleich dazu um ein Vielfaches größer. Die Forscher betonen jedoch, dass Google das Problem technisch lösen kann, da das Unternehmen für andere Arten von Anmeldedaten bereits wesentlich schnellere Synchronisationszeiten implementiert hat.

So breitet sich die Sperrung von Service-Account-Anmeldedaten bei Google innerhalb von etwa fünf Sekunden im Netzwerk aus. Auch das neuere API-Schlüsselformat für Gemini, das mit der Zeichenfolge AQ beginnt, verarbeitet den Löschbefehl in ungefähr einer Minute. Dies belegt, dass eine schnelle Bereitstellung von Sperrbefehlen auf globaler Ebene technisch realisierbar ist. Bis zu einer vollständigen Anpassung des älteren Schlüsselformats müssen Entwickler im Falle eines Lecks damit rechnen, dass eine manuelle Löschung des API-Schlüssels den Zugriff der Angreifer nicht sofort unterbricht.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Google, google phishing, Phishing, no-reply@google.com, Mail
25. Mai 2026
Sicherheitslücke bei Google: Gelöschte API-Schlüssel bleiben aktiv
KI, AI, Geld,
24. Mai 2026
Zwischen KI und Vertrauen: Deutsche bleiben bei Geldfragen gespalten
Always-on
24. Mai 2026
Always on: Mehrheit checkt stündlich das Handy
Risikomanagement
24. Mai 2026
Kognitive KI und mentale Privatsphäre: Vier neue Risiken

Weitere Artikel

KI-gestütztes Hacking ist zur Bedrohung im industriellen Maßstab angewachsen
Cyberangriffe zwischen den Jahren besonders gefährlich
Lazarus-Gruppe BlueNoroff greift Krypto-Branche an
PromptLock: First AI-driven ransomware discovered
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.