Google corrige un bug qui pourrait révéler les numéros de téléphone privés des utilisateurs

Un chercheur en sécurité a découvert un bug qui pourrait être exploité pour révéler le numéro de téléphone de récupération privé de presque tous les comptes Google sans alerter son propriétaire, exposant potentiellement les utilisateurs à des risques de confidentialité et de sécurité.

Google a confirmé à TechCrunch avoir corrigé le bug après que le chercheur a alerté l'entreprise en avril.

Le chercheur indépendant, connu sous le nom de brutecat et qui a blogué ses découvertes , a déclaré à TechCrunch qu'il pouvait obtenir le numéro de téléphone de récupération d'un compte Google en exploitant un bug dans la fonction de récupération de compte de l'entreprise.

L'exploit reposait sur une « chaîne d'attaque » impliquant plusieurs processus distincts fonctionnant en tandem, notamment la divulgation du nom d'affichage complet d'un compte ciblé et le contournement d'un mécanisme de protection anti-bot mis en place par Google pour empêcher le spam malveillant de demandes de réinitialisation de mot de passe. Le contournement de la limite de débit a finalement permis au chercheur d'analyser toutes les permutations possibles du numéro de téléphone d'un compte Google en un temps record et d'obtenir les chiffres corrects.

En automatisant la chaîne d'attaque avec un script, le chercheur a déclaré qu'il était possible de forcer le numéro de téléphone de récupération du propriétaire d'un compte Google en 20 minutes ou moins, selon la longueur du numéro de téléphone.

Pour tester cela, TechCrunch a créé un nouveau compte Google avec un numéro de téléphone qui n'avait jamais été utilisé auparavant, puis a fourni à brutecat l'adresse e-mail de notre nouveau compte Google.

Peu de temps après, brutecat a répondu avec le numéro de téléphone que nous avions défini.

« Bingo :) », a déclaré le chercheur.

La divulgation du numéro de téléphone de récupération privé peut exposer même les comptes Google anonymes à des attaques ciblées, telles que des tentatives de prise de contrôle. Identifier un numéro de téléphone privé associé au compte Google d'une personne pourrait faciliter la prise de contrôle de ce numéro par des pirates expérimentés, par exemple par échange de carte SIM . Grâce à ce numéro, le pirate peut réinitialiser le mot de passe de tout compte associé en générant des codes de réinitialisation envoyés à ce téléphone.

Compte tenu du risque potentiel pour le grand public, TechCrunch a accepté de conserver cet article jusqu'à ce que le bug soit corrigé.

« Ce problème a été corrigé. Nous avons toujours insisté sur l'importance de collaborer avec la communauté des chercheurs en sécurité via notre programme de récompenses pour les vulnérabilités, et nous tenons à remercier le chercheur d'avoir signalé ce problème », a déclaré Kimberly Samra, porte-parole de Google, à TechCrunch. « Les contributions des chercheurs comme celle-ci sont l'un des nombreux moyens par lesquels nous pouvons rapidement identifier et corriger les problèmes pour la sécurité de nos utilisateurs. »

Samra a déclaré que la société n'avait constaté « aucun lien direct et confirmé avec des exploits à ce jour ».

Brutecat a déclaré que Google avait payé 5 000 $ en récompense de bug pour sa découverte.