Google API-Schlüssel trotz Deletion weiterhin für Gemini, BigQuery und Maps aktiv

Stattdessen breitet sich der Widerruf schrittweise über verteilte Systeme aus, wodurch ein „Widerruf-Fenster" entsteht, in dem der Schlüssel weiterhin Anfragen authentifiziert. Beobachtetes längstes Fenster: ca.. Beobachtetes kürzestes Fenster: ca.. Median-Dauer: ca..

Angreifer mit geleakten Schlüsseln können während dieses Zeitraums weiterhin API-Aufrufe tätigen, da einige Backend-Server gelöschte Schlüssel möglicherweise noch akzeptieren, was zu inkonsistenter Durchsetzung führt. Zugriff auf gelschte Google API-Schlssel Das Problem verschrft sich, wenn hochwertige Dienste aktiviert sind.

Wenn ein kompromittierter Schlssel Zugriff auf Googles Gemini API hat, knnen Angreifer:

zuvor hochgeladene Dateien abrufen

zuvor hochgeladene Dateien abrufen,

zwischengespeicherte Gesprche einsehen,

weiterhin mit KI-Endpunkten interagieren. hnliches Verhalten wurde bei anderen Diensten beobachtet, einschlielich der BigQuery- und Maps-APIs, was darauf hindeutet, dass die Verzgerung mit der API-Schlssel-Infrastruktur und nicht mit einzelnen Diensten zusammenhngt. Forscher fhrten kontrollierte Experimente ber mehrere Tage durch:

Technischer Hintergrund

API-Schlssel wurden in wiederholten Versuchen erstellt und gelscht,

nach dem Lschen wurden 35 authentizierte Anfragen pro Sekunde gesendet,

gemessen wurde, wie lange die Anfragen weiterhin erfolgreich waren. Die Ergebnisse zeigten unvorhersehbare Erfolgsquoten. Zum Beispiel waren einige Versuche eine Minute nach dem Lschen noch bis zu 79 % der Anfragen erfolgreich, whrend andere nur noch 5 % erreichten. Diese Inkonsistenz erschwert die Bestimmung, wann ein Schlssel tatschlich ungltig ist.

Technischer Hintergrund

Tests in mehreren Google Cloud-Regionen zeigten eine ungleichmäßige Ausbreitung: us-east1: ca. 49 % medianer Erfolgsquote. Europe-west1: ca. 49 % medianer Erfolgsquote. asia-southeast1: ca. 22 % medianer Erfolgsquote.

Interessanterweise lehnten einige entferntere Regionen gelöschte Schlüssel schneller ab als näher gelegene, was darauf hindeutet, dass Routing, Caching oder infrastrukturelle Unterschiede die Zeit bis zur Widerrufung beeinflussen. Die Google Cloud Console macht nicht klar, dass ein gelöschter Schlüssel weiterhin aktiv ist.

Stattdessen: Gelöschte Schlüssel verschwinden sofort aus der Benutzeroberfläche. Laufende Anfragen können weiterhin erfolgreich sein, ohne dass dies sichtbar wird. Fehlgeschlagene Anfragen werden unter „apikey:UNKNOWN" gruppiert.

Technischer Hintergrund

Diese Gruppierung erschwert die Incident-Response, da Sicherheitsteams Aktivitäten nicht einfach einem spezifischen gelöschten Schlüssel zuordnen können. Nicht alle Google-Credentials zeigen dieselbe Verzögerung: Service-Account-Schlüssel: widerrufen in ca. 5 Sekunden. Neue Gemini-API-Schlüssel (AQ-Vorfix): widerrufen in ca.. Legacy-API-Schlüssel: bis zu.

Diese Diskrepanz deutet darauf hin, dass eine schnellere Widerrufung technisch möglich ist, für Standard-API-Schlüssel jedoch nicht umgesetzt wird. Der Aikido-Forscher Joe Leon erklärte, Google habe das Problem als „won't fix" markiert und die Verzögerung als erwartetes Verhalten in eventually consistent Systemen beschrieben, nicht als Sicherheitslücke.

Obwohl Google die eventual consistency in IAM-Systemen dokumentiert, warnt es Nutzer nicht ausdrücklich über verzögerte API-Schlüssel-Widerrufe. Sicherheitsimplikationen: Die verzögerte Widerrufung widerspricht der üblichen Erwartung, dass das sofortige Löschen.

Technischer Hintergrund

Selbst kurze Verzögerungen können ausgenutzt werden, wie frühere Cloud-Sicherheitsforschung zeigt. Für Organisationen, die Google Cloud nutzen, ergeben sich daraus mehrere Risiken: Weiterer Zugriff nach Kompromittierung der Zugangsdaten, mangelnde Transparenz bei laufendem Missbrauch und Schwierigkeiten bei der Durchsetzung (JIT)-Zugangsstrategien.

Bis nderungen umgesetzt sind, sollten Sicherheitsteams ihre Reaktionsstrategien anpassen: Die Lschung Prozess von und nicht als sofortige Manahme behandelt werden. berwachen Sie die API-Nutzung nach der Lschung sorgfltig auf verdchtige Aktivitten. Rotieren Sie Schlssel proaktiv und minimieren Sie die Exposition in ffentlichen Repositories.

Bevorzugen Sie Service-Account-Schlssel oder neuere Credential-Typen, wo immer mglich. Diese Entdeckung zeigt eine breitere Herausforderung in der Cloud-Sicherheit auf: das Gleichgewicht zwischen Skalierbarkeit und strengen Authentifizierungsgarantien. Im Fall aktuelle Modell eine kritische Lcke, die Angreifer whrend des Widerrufszeitraums ausnutzen knnen.

Abi ist Sicherheitsredakteurin und Mitautorin bei